Certificados APNs
Importante:
O suporte da Apple para o protocolo binário legado APNs termina em 31 de março de 2021. A Apple recomenda que você use a API do provedor de APNs baseada em HTTP/2. A partir da versão 10.13.0, o XenMobile Server oferece suporte à API baseada em HTTP/2. Para obter mais informações, leia “Apple Push Notification Service Update” em https://developer.apple.com/. Para obter ajuda com a verificação da conectividade com APNs, consulte Verificações de conectividade.
Para registrar e gerenciar dispositivos iOS e macOS no XenMobile, configure um certificado de serviço de Notificação por Push (APNs) da Apple.
Resumo do fluxo de trabalho:
-
Etapa 1: Criar uma Solicitação de Assinatura de Certificado (CSR) de uma dessas duas maneiras:
-
Etapa 2: Assinar a CSR no XenMobile Tools
-
Etapa 3: Enviar a CSR assinada para a Apple para obter o certificado APNs
-
Etapa 4: Usando o mesmo computador usado para a Etapa 1, Completar a CSR e exportar um arquivo PKCS #12:
-
Etapa 6: Renovar um certificado de APNs
Criar uma solicitação de assinatura de certificado
Recomendamos que você crie uma CSR usando o Keychain Access no macOS. Você também pode criar uma CSR usando o Microsoft IIS ou o OpenSSL.
Importante:
- Para o ID Apple usado para criar o certificado:
- The Apple ID must be a corporate ID and not a personal ID.
- Record the Apple ID that you use to create the certificate.
- To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
Se você acidentalmente ou intencionalmente revogar o certificado, perderá a capacidade de gerenciar os seus dispositivos.
- Se você usou o iOS Developer Enterprise Program para criar um certificado push do gerenciador de dispositivos móveis, certifique-se de manipular todas as ações para os certificados migrados no Apple Push Certificates Portal.
Criar uma CSR usando o Keychain Accesss no macOS
- Em um computador com macOS, em Aplicativos > Utilitários, inicie o aplicativo Keychain Access.
- Abra o menu Keychain Access e clique em Certificate Assistant > Request a Certificate From a Certificate Authority.
- O Certificate Assistant solicita que você insira as seguintes informações:
- Email Address: o endereço de email do indivíduo ou da conta de função responsável por gerenciar o certificado.
- Common Name: o nome comum do indivíduo ou da conta de função responsável por gerenciar o certificado.
- CA Email Address: o endereço de email da autoridade de certificação.
- Selecione as opções Saved to disk e Let me specify key pair informatione clique em Continue.
- Insira um nome para o arquivo da CSR, salve o arquivo no seu computador e depois clique em Save.
- Especifique as informações de par de chaves: selecione o Key Size de 2048 bits e o RSA algorithm e clique em Continue. O arquivo da CSR está pronto para que você o carregue como parte do processo de certificado de APNs.
- Clique em Done quando o Certificate Assistant concluir o processo da CSR.
- Para continuar, Assine a CSR.
Criar uma CSR usando o Microsoft IIS
A primeira etapa para gerar uma solicitação de certificado de APNs é criar uma Solicitação de Assinatura de Certificado (CSR). Para Windows, gere uma CSR usando o Microsoft IIS.
- Abra o Microsoft IIS.
- Clique duas vezes no ícone Certificados do Servidor do IIS.
- Na janela Certificados do Servidor, clique em Criar Solicitação de Certificado.
- Digite as informações adequadas de Nome Diferenciado (DN) e clique em Avançar.
- Selecione Microsoft RSA SChannel Cryptographic Provider como o Provedor de Serviços de Criptografia e 2048 como o comprimento de bit e, em seguida, clique em Avançar.
- Insira um nome do arquivo, especifique uma localização para salvar a CSR e clique em Concluir.
- Para continuar, Assine a CSR.
Criar uma CSR usando o OpenSSL
Se não puder usar um dispositivo macOS ou o Microsoft IIS para gerar uma CSR, use o OpenSSL. Você pode baixar e instalar o OpenSSL a partir do site OpenSSL.
-
No computador no qual você instalar o OpenSSL, execute o seguinte comando a partir de um prompt de comando ou do shell.
openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048
-
A mensagem de informações de nomenclatura de certificado a seguir é exibida. Insira as informações conforme solicitado.
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com <!--NeedCopy-->
-
Na mensagem seguinte, insira uma senha para a chave privada da CSR.
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: <!--NeedCopy-->
-
Para continuar, assine a CSR conforme descrito na próxima seção.
Assinar a CSR
Para usar um certificado com o XenMobile, envie-o à Citrix para assinatura. A Citrix assina a CSR com o respectivo certificado de assinatura de gerenciamento de dispositivo móvel e retorna o arquivo assinado em um formato .plist
.
-
No navegador, acesse o site Endpoint Management Tools e clique em Request push notification certificate signature.
-
Na página Creating a new certificate, clique em Upload the CSR.
-
Procure e selecione o certificado.
O certificado deve estar no formato .pem/txt.
-
Na página Endpoint Management APNs CSR Signing, clique em Sign. A CSR é assinada e salva automaticamente na sua pasta configurada de downloads.
-
Para continuar, envie a CSR assinada conforme descrito na próxima seção.
Enviar a CSR assinada para a Apple para obter o certificado de APNs
Depois de receber a sua Solicitação de Assinatura de Certificado (CSR) assinada da Citrix, você precisará enviar a CSR para a Apple para obter o certificado de APNs necessário para importar para o XenMobile.
Nota:
Alguns usuários relataram problemas ao fazer login no Apple Push Portal. Como alternativa, faça logon no Apple Developer Portal e siga estas etapas:
-
Em um navegador, acesse o Apple Push Certificates Portal.
-
Clique em Create a Certificate.
-
Na primeira vez em que você cria um certificado junto à Apple, marque a caixa de seleção I have read and agree to these terms and conditions e clique em Accept.
-
Clique em Choose File, navegue até a CSR assinada no seu computador e clique em Upload. Uma mensagem de confirmação indica que o carregamento foi bem-sucedido.
-
Clique em Download para recuperar o certificado .pem.
-
Para continuar, complete a CSR e exporte um arquivo PKCS #12 conforme descrito na próxima seção.
Completar a CSR e exportar um arquivo PKCS #12
Depois de receber o certificado APNs da Apple, volte para o Keychain Access, Microsoft IIS ou OpenSSL para exportar o certificado para um arquivo PCKS #12.
Um arquivo PKCS #12 contém o arquivo de certificado APNS e sua chave privada. Os arquivos PFX geralmente têm a extensão .pfx ou .p12. Você pode usar arquivos .pfx e .p12 de forma intercambiável.
Importante:
A Citrix recomenda que você salve ou exporte as chaves pessoal e pública do sistema local. Você precisa das chaves para acessar os certificados APNs para reutilização. Sem as mesmas chaves, seu certificado é inválido e você deve repetir todo o processo CSR e APNs.
Criar um arquivo PKCS #12 usando o Keychain Access no macOS
Importante:
Para esta tarefa, use o mesmo dispositivo macOS que você usou para gerar a CSR.
-
No dispositivo, localize o certificado de identidade Production (.pem) recebido da Apple.
-
Inicie o aplicativo Keychain Access e navegue até a guia Login > My Certificates. Arraste e solte o certificado de identidade do produto na janela aberta.
-
Clique no certificado e expanda a seta à esquerda para verificar se o certificado inclui uma chave privada associada.
-
Para começar a exportar o certificado para um certificado PCKS #12 (.pfx), escolha o certificado e a chave privada, clique com o botão direito do mouse e selecione Export 2 items.
-
Dê ao arquivo de certificado um nome exclusivo para uso com o XenMobile. Não inclua espaços no nome. Em seguida, escolha o local da pasta para o certificado salvo, selecione o formato de arquivo .pfx e clique em Salvar.
-
Insira uma senha para exportar o certificado. A Citrix recomenda que você use uma senha única e forte. Além disso, mantenha o certificado e a senha protegidos para uso e referência posteriores.
-
O aplicativo Keychain Access solicitará a senha de login ou as chaves selecionadas. Digite a senha e clique em OK. O certificado salvo agora está pronto para ser usado com o XenMobile Server.
-
Para continuar, consulte Importar um certificado de APNs para o XenMobile.
Criar um arquivo PKCS #12 usando o Microsoft IIS
Importante:
Para essa tarefa, use o mesmo servidor IIS que você usou para gerar a CSR.
-
Abra o Microsoft IIS.
-
Clique no ícone Certificados do Servidor.
-
Na janela Certificados do Servidor, clique em Concluir Solicitação de Certificado.
-
Procure o arquivo Certificate.pem da Apple. Em seguida, digite um nome amigável ou o nome do certificado, e clique em OK. Não inclua espaços no nome.
-
Selecione o certificado que você identificou na etapa 4 e clique em Exportar.
-
Especifique a localização e nome do arquivo de certificado .pfx e uma senha; depois clique em OK.
Você precisa da senha do certificado para importá-lo para o XenMobile.
-
Copie o certificado .pfx para o servidor no qual planeja instalar o XenMobile.
-
Para continuar, consulte Importar um certificado de APNs para o XenMobile.
Criar um arquivo PKCS #12 usando o OpenSSL
Se você usar o OpenSSL para criar uma CSR, também poderá usar o OpenSSL para criar um certificado de APNs. pfx.
-
Em um prompt de comando ou shell, execute o seguinte comando.
Customer.privatekey.pem
é a chave privada da sua CSR.APNs_Certificate.pem
é o certificado que você acabou de receber da Apple.openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx
-
Insira uma senha para o arquivo de certificado .pfx. Guarde essa senha, pois você a usará novamente quando carregar o certificado para o XenMobile.
-
Anote a localização do arquivo de certificado .pfx. Depois copie o arquivo para o XenMobile Server para que você possa usar o console para carregar o arquivo.
-
Para continuar, importe um certificado APNs para o XenMobile conforme descrito na próxima seção.
Importar um certificado de APNs para o XenMobile
Depois de receber o novo certificado de APNs, importe-o para o XenMobile para adicioná-lo pela primeira vez ou para substituir um certificado existente.
-
No console XenMobile, vá para Configurações > Certificados.
-
Clique em Importar > Keystore.
-
Em Usar como, selecione APNs.
-
Navegue até o arquivo .pfx ou .p12 no seu computador.
-
Insira uma senha e clique em Importar.
Para obter mais informações sobre certificados no XenMobile, consulte Certificados e autenticação.
Renovar um certificado de APNs
Importante:
Se você utilizar um ID Apple diferente para o processo de renovação, deverá registrar novamente os dispositivos de usuário
Para renovar um certificado de APNs, execute as etapas para criar um certificado e vá para o Apple Push Certificates Portal. Use o portal para carregar o novo certificado. Depois de fazer login, o seu certificado existente ou um certificado importado da sua conta anterior do Apple Developers é exibido.
No Certificates Portal, a única diferença para a renovação do certificado é que você clica em Renew. Você deve ter uma conta de desenvolvedor no Certificates Portal para acessar o site. Para renovar o certificado, use o mesmo nome da organização e o mesmo ID Apple.
Para determinar quando o seu certificado de APNs expira, no console XenMobile, vá para Configurações > Certificados. Se o certificado expirar, não o revogue.
-
Gere uma CSR usando o Microsoft IIS, Keychain Access (macOS) ou OpenSSL. Para obter mais informações sobre como gerar um CSR, consulte Criar uma solicitação de assinatura de certificado.
-
No navegador, acesse Endpoint Management Tools. Clique em Request push notification certificate signature.
-
Clique em + Upload the CSR.
-
Na caixa de diálogo, navegue até a CSR, clique em Open e clique em Login.
-
Quando você receber um arquivo
.plist
, salve-o. -
No título da etapa 3, clique em Apple Push Certificates Portal e faça login.
-
Selecione o certificado que deseja renovar e clique em Renew.
-
Carregue o arquivo
.plist
. Você receberá um arquivo .pem como resultado. Salve o arquivo .pem. -
Usando esse arquivo .pem, preencha a CSR (de acordo com o método usado para criar a CSR na Etapa 1).
-
Exporte o certificado como um arquivo .pfx.
No console XenMobile, importe o arquivo .pfx e conclua a configuração da seguinte maneira:
- Vá para Configurações > Certificados > Importar.
- No menu Importar, selecione Keystore.
- No menu Tipo de keystore, escolha PKCS #12.
-
Em Usar como, selecione APNs.
- Em Arquivo de keystore, clique em Procurar e navegue até o arquivo.
- Em Senha, digite a senha do certificado.
- Digite uma Descrição opcional.
- Clique em Importar.
O XenMobile redireciona você de volta à página Certificados. Os campos Nome, Status, Válido de e Válido até são atualizados.