APN-Zertifikate
Wichtig:
Apple stellt die Unterstützung für das Legacy-APNs-Binärprotokoll am 31. März 2021 ein. Apple empfiehlt, stattdessen die Verwendung der HTTP/2-basierten APNS-Anbieter-API zu verwenden. Ab Version 10.13.0 unterstützt XenMobile Server die HTTP/2-basierte API. Weitere Informationen finden Sie unter “Apple Push Notification Service Update” auf https://developer.apple.com/. Informationen zum Überprüfen der Konnektivität zu APNs finden Sie unter Konnektivitätsprüfungen.
Zum Registrieren und Verwalten von iOS- und macOS-Geräten mit XenMobile müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten.
Workflowzusammenfassung:
-
Schritt 1: Erstellen einer Zertifikatsignieranforderung (CSR) mit einer der folgenden Methoden:
-
Schritt 2: Signieren der CSR in XenMobile Tools
-
Schritt 4: Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei auf demselben Computer, der für Schritt 1 verwendet wurde:
-
Schritt 6: Erneuern eines APNs-Zertifikats
Erstellen einer Zertifikatsignieranforderung
Es wird empfohlen, eine Zertifikatsignieranforderung (CSR) mit der Schlüsselbundverwaltung in macOS zu erstellen. Sie können eine CSR auch mit Microsoft IIS oder OpenSSL erstellen.
Wichtig:
- Für die beim Erstellen des Zertifikats verwendete Apple-ID gilt:
- The Apple ID must be a corporate ID and not a personal ID.
- Record the Apple ID that you use to create the certificate.
- To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
Wenn Sie ein Zertifikat aus Versehen oder absichtlich widerrufen, können Sie die Geräte nicht mehr verwalten.
- Wenn Sie mit dem iOS Developer Enterprise Program ein Push-Zertifikat für die Mobilgeräteverwaltung erstellt haben, müssen Sie sämtliche Aktionen für die migrierten Zertifikate im Apple Push Certificates Portal ausführen.
Erstellen einer Zertifikatsignieranforderung mit der Schlüsselbundverwaltung in macOS
- Starten Sie auf einem Computer mit macOS unter Anwendungen > Dienstprogramme die Schlüsselbundverwaltung (Keychain Access).
- Klicken Sie im Menü Keychain Access auf Certificate Assistant > Request a Certificate From a Certificate Authority.
- Der Zertifikatassistent fordert Sie zur Eingabe folgender Informationen auf:
- Email Address: E-Mail-Adresse des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
- Common Name: allgemeiner Name des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
- CA Email Address: E-Mail-Adresse der Zertifizierungsstelle.
- Wählen Sie Saved to disk und Let me specify key pair information und klicken Sie auf Continue.
- Geben Sie einen Namen für die CSR-Datei ein, speichern Sie die Datei auf Ihrem Computer und klicken Sie dann auf Save.
- Als Schlüsselpaarinformationen wählen Sie für Key Size den Wert “2048 bits” und unter RSA algorithm den RSA-Algorithmus aus. Klicken Sie dann auf Continue. Die CSR-Datei kann nun als Teil des APNs-Zertifikatverfahrens hochgeladen werden.
- Klicken Sie auf Done, wenn der Assistent den Prozess abgeschlossen hat.
- Als Nächstes signieren Sie die Zertifikatsignieranforderung.
Erstellen einer Zertifikatsignieranforderung mit Microsoft IIS
Der erste Schritt zum Generieren einer APNs-Zertifikatanforderung ist das Erstellen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Generieren Sie die CSR für Windows mit Microsoft IIS.
- Öffnen Sie Microsoft IIS.
- Doppelklicken Sie auf das Serverzertifikatesymbol für IIS.
- Klicken Sie im Fenster Serverzertifikate auf Zertifikatanforderung erstellen.
- Geben Sie den Distinguished Name (DN) ein und klicken Sie auf Weiter.
- Wählen Sie Microsoft RSA SChannel Cryptographic Provider als Kryptografieanbieter und 2048 als Bitlänge aus. Klicken Sie dann auf Weiter.
- Geben Sie einen Dateinamen für die Zertifikatanforderung ein wählen Sie einen Speicherort aus und klicken Sie dann auf Fertig stellen.
- Als Nächstes signieren Sie die Zertifikatsignieranforderung.
Erstellen einer Zertifikatsignieranforderung mit OpenSSL
Wenn Sie kein macOS-Gerät oder Microsoft IIS zum Generieren einer Zertifikatsignieranforderung verwenden können, verwenden Sie OpenSSL. Sie können OpenSSL von der OpenSSL-Website herunterladen und installieren.
-
Führen Sie auf dem Computer, auf dem Sie OpenSSL installieren, folgenden Befehl an einer Eingabeaufforderung oder Shell aus.
openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048
-
Die folgende Meldung bezüglich der Informationen für die Zertifikatbenennung wird angezeigt. Geben Sie die Informationen wie angefordert ein.
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com <!--NeedCopy-->
-
Geben Sie bei der nächsten Meldung ein Kennwort für den privaten CSR-Schlüssel ein.
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: <!--NeedCopy-->
-
Um fortzufahren, signieren Sie die Zertifikatsignieranforderung wie im nächsten Abschnitt beschrieben.
Signieren der Zertifikatsignieranforderung
Um ein Zertifikat mit XenMobile zu verwenden, übermitteln Sie es zum Signieren an Citrix. Citrix signiert die Zertifikatsignieranforderung mit seinem Zertifikat für die Mobilgeräteverwaltung und sendet die signierte Datei im .plist
-Format zurück.
-
Wechseln Sie in Ihrem Browser zu der Website Endpoint Management Tools und klicken Sie dann auf Request push notification certificate signature.
-
Klicken Sie auf der Seite Creating a new certificate auf Upload the CSR.
-
Navigieren Sie zu dem Zertifikat und wählen Sie es aus.
Das Zertifikat muss im PEM/TXT-Format vorliegen.
-
Klicken Sie auf der Seite Endpoint Management APNs CSR Signing auf Sign. Die CSR wird signiert und automatisch im konfigurierten Downloadordner gespeichert.
-
Um fortzufahren, übermitteln Sie die signierte CSR wie im nächsten Abschnitt beschrieben.
Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats
Nach Erhalt der signierten Zertifikatsignieranforderung (CSR) von Citrix senden Sie diese an Apple, um das APNs-Zertifikat zu erhalten, das Sie in XenMobile importieren müssen.
Hinweis:
Es gibt Berichte über Probleme mit der Anmeldung beim Apple Push Portal. Melden Sie sich alternativ beim Apple Developer Portal an und folgen Sie dann diesen Schritten:
-
Rufen Sie in einem Browser das Apple Push Certificates Portal auf.
-
Klicken Sie auf Create a Certificate.
-
Wenn Sie zum ersten Mal ein Zertifikat von Apple anfordern, aktivieren Sie das Kontrollkästchen I have read and agree to these terms and conditions und klicken Sie auf Accept.
-
Klicken Sie auf Choose File, navigieren Sie auf Ihrem Computer zu der signierten CSR und klicken Sie auf Upload. Eine Bestätigungsmeldung zeigt an, dass der Upload erfolgreich war.
-
Klicken Sie auf Download, um das PEM-Zertifikat abzurufen.
-
Um fortzufahren, signieren Sie die Zertifikatsignieranforderung (CSR) und exportieren eine PKCS#12-Datei, wie im nächsten Abschnitt beschrieben.
Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei
Nach dem Erhalt des APNs-Zertifikats von Apple kehren Sie zu Keychain Access, Microsoft IIS oder OpenSSL zurück, um das Zertifikat in eine PCS#12-Datei zu exportieren.
Eine PKCS#12-Datei enthält die APNs-Zertifikatdatei und Ihren privaten Schlüssel. PFX-Dateien haben normalerweise die Erweiterung .pfx oder .p12. Sie können PFX- und P12-Dateien austauschbar verwenden.
Wichtig:
Citrix empfiehlt, die persönlichen und öffentlichen Schlüssel vom lokalen System zu speichern oder zu exportieren. Sie benötigen die Schlüssel, um auf die APNs-Zertifikate erneut zuzugreifen. Ohne dieselben Schlüssel ist Ihr Zertifikat ungültig, und Sie müssen den gesamten CSR- und APNs-Prozess wiederholen.
Erstellen einer PKCS #12-Datei mit der Schlüsselbundverwaltung in macOS
Wichtig:
Verwenden Sie für diese Aufgabe dasselbe macOS-Gerät, mit dem Sie die Zertifikatsignieranforderung erstellt haben.
-
Suchen Sie auf dem Gerät das Produktidentitätszertifikat (.pem), das Sie von Apple erhalten haben.
-
Starten Sie die Schlüsselbundverwaltung und navigieren Sie zur Registerkarte Login > My Certificates. Ziehen Sie das Produktidentitätszertifikat mit der Maus auf das geöffnete Fenster und legen Sie es dort ab.
-
Klicken Sie auf das Zertifikat und dann auf den Pfeil links, um zu überprüfen, ob das Zertifikat den zugehörigen privaten Schlüssel enthält.
-
Zum Exportieren des Zertifikats in das Format PCKS#12 (.pfx) wählen Sie das Zertifikat und den privaten Schlüssel, klicken mit der rechten Maustaste und wählen Export 2 items.
-
Geben Sie der Zertifikatdatei einen eindeutigen Namen für die Verwendung mit XenMobile. Verwenden Sie kein Leerzeichen im Namen. Wählen Sie einen Speicherort für das gespeicherte Zertifikat und das PFX-Dateiformat und klicken Sie auf Speichern.
-
Geben Sie ein Kennwort zum Exportieren des Zertifikats ein. Citrix empfiehlt die Verwendung eines eindeutigen sicheren Kennworts. Bewahren Sie außerdem Zertifikat und Kennwort zur späteren Verwendung auf.
-
Die Schlüsselbundverwaltung fordert Sie zur Eingabe des Anmeldekennworts oder des ausgewählten Schlüsselbunds auf. Geben Sie das Kennwort ein und klicken Sie auf OK. Das gespeicherte Zertifikat kann nun mit XenMobile Server verwendet werden.
-
Weitere Informationen finden Sie unter Importieren eines APNs-Zertifikats in XenMobile.
Erstellen einer PKCS#12-Datei mit Microsoft IIS
Wichtig:
Verwenden Sie für diese Aufgabe denselben IIS-Server, mit dem Sie die Zertifikatsignieranforderung erstellt haben.
-
Öffnen Sie Microsoft IIS.
-
Klicken Sie auf das Serverzertifikatesymbol.
-
Klicken Sie im Fenster Server Certificates auf Complete Certificate Request.
-
Navigieren Sie zu der Datei Certificate.pem von Apple. Geben Sie dann einen Anzeigenamen oder den Zertifikatnamen ein und klicken Sie auf OK. Verwenden Sie kein Leerzeichen im Namen.
-
Wählen Sie das in Schritt 4 identifizierte Zertifikat und klicken Sie auf Export.
-
Geben Sie einen Speicherort und einen Dateinamen für das PFX-Zertifikat sowie ein Kennwort ein und klicken Sie auf OK.
Sie benötigen das Kennwort für das Zertifikat, um es in XenMobile zu importieren.
-
Kopieren Sie die PFX-Zertifikatdatei auf den Server, auf dem XenMobile installiert werden soll.
-
Weitere Informationen finden Sie unter Importieren eines APNs-Zertifikats in XenMobile.
Erstellen einer PKCS #12 -Datei mit OpenSSL
Falls Sie eine Zertifikatsignieranforderung mit OpenSSL erstellen, können Sie damit auch ein APNs-Zertifikat im PFX-Format erstellen.
-
Führen Sie an einer Eingabeaufforderung oder Shell den nachfolgenden Befehl aus.
Customer.privatekey.pem
ist der private Schlüssel aus Ihrer CSR undAPNs_Certificate.pem
das von Apple erhaltene Zertifikat.openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx
-
Geben Sie ein Kennwort für die PFX-Datei ein. Merken Sie sich das Kennwort, denn Sie benötigen es wieder, wenn Sie das Zertifikat in XenMobile hochladen.
-
Notieren Sie den Speicherort der PFX-Zertifikatsdatei. Kopieren Sie dann die Datei auf den XenMobile-Server, damit Sie sie mit der Konsole hochladen können.
-
Um fortzufahren, importieren Sie wie im nächsten Abschnitt beschrieben ein APNs-Zertifikat in XenMobile.
Importieren eines APNs-Zertifikats in XenMobile
Nachdem Sie ein neues APNs-Zertifikat empfangen haben, importieren Sie das APNs-Zertifikat in XenMobile – entweder als erstes Zertifikat oder als Ersatz für ein bestehendes Zertifikat.
-
Gehen Sie in der XenMobile-Konsole zu Einstellungen > Zertifikate.
-
Klicken Sie auf Importieren > Schlüsselspeicher.
-
Wählen Sie unter Verwenden als die Option APNs.
-
Navigieren Sie zu der PFX- bzw. P12-Datei auf Ihrem Computer.
-
Geben Sie das Kennwort ein und klicken Sie auf Importieren.
Weitere Informationen über Zertifikate in XenMobile finden Sie unter Zertifikate und Authentifizierung.
Erneuern eines APNs-Zertifikats
Wichtig:
Wenn Sie zum Erneuern des Zertifikats eine andere Apple-ID verwenden, müssen Sie die Benutzergeräte neu registrieren.
Um ein APNs-Zertifikat zu erneuern, führen Sie die Schritte zum Erstellen eines Zertifikats aus und rufen dann das Apple Push Certificates Portal auf. Verwenden Sie dieses Portal, um das neue Zertifikat hochzuladen. Nach der Anmeldung wird Ihr vorhandenes Zertifikat oder ein aus Ihrem vorherigen Apple Developer-Konto importiertes Zertifikat angezeigt.
Im Portal besteht der einzige Unterschied beim Erneuern des Zertifikats darin, dass Sie auf Renew klicken. Sie müssen ein Developer-Konto für das Portal haben, um auf die Website zugreifen zu können. Verwenden Sie beim Erneuern des Zertifikats denselben Organisationsnamen und dieselbe Apple-ID.
Um herauszufinden, wann Ihr APNs-Zertifikat abläuft, gehen Sie in der XenMobile-Konsole zu Einstellungen > Zertifikate. Widerrufen Sie das Zertifikat nicht, falls es abläuft.
-
Generieren Sie eine Zertifikatsignieranforderung mit IIS (Microsoft), Keychain Access (macOS) oder OpenSSL. Weitere Informationen zum Generieren einer Zertifikatsignieranforderung finden Sie unter Erstellen einer Zertifikatsignieranforderung.
-
Rufen Sie im Browser die Endpoint Management Tools auf. Klicken Sie dann auf Request push notification certificate signature.
-
Klicken Sie auf + Upload the CSR.
-
Navigieren Sie im Dialogfeld zur CSR, klicken Sie auf Open und dann auf Sign.
-
Wenn Sie eine
.plist
-Datei erhalten, speichern Sie sie. -
Klicken Sie im Titel von Schritt 3 auf Apple Push Certificates Portal und melden Sie sich an.
-
Wählen Sie das zu erneuernde Zertifikat aus und klicken Sie auf Renew.
-
Laden Sie die
.plist
-Datei hoch. Sie erhalten dann eine PEM-Datei als Ausgabe. Speichern Sie die PEM-Datei. -
Schließen Sie mithilfe der PEM-Datei die CSR ab (entsprechend der Methode, die Sie zum Erstellen der CSR in Schritt 1 verwendet haben).
-
Exportieren Sie das Zertifikat als PFX-Datei.
Importieren Sie die PFX-Datei in der XenMobile-Konsole und schließen Sie die Konfiguration wie folgt ab:
- Gehen Sie zu Einstellungen > Zertifikate > Importieren.
- Wählen Sie im Menü Importieren die Option Schlüsselspeicher.
- Wählen Sie im Menü Schlüsselspeichertyp die Option PKCS #12.
-
Wählen Sie unter Verwenden als die Option APNs.
- Klicken Sie für Schlüsselspeicherdatei auf Durchsuchen und navigieren Sie zu der Datei.
- Geben Sie unter Kennwort das Kennwort für das Zertifikat ein.
- Geben Sie optional eine Beschreibung ein.
- Klicken Sie auf Importieren.
XenMobile zeigt nun wieder die Seite Zertifikate an. Die Felder Name, Status, Gültig von und Gültig bis werden aktualisiert.
In diesem Artikel
- Erstellen einer Zertifikatsignieranforderung
- Signieren der Zertifikatsignieranforderung
- Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats
- Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei
- Importieren eines APNs-Zertifikats in XenMobile
- Erneuern eines APNs-Zertifikats