Citrix Endpoint Management

APNs 证书

要在 Citrix Endpoint Management 中注册和管理 Apple 设备,您需要设置 Apple 颁发的 Apple 推送通知服务 (APNs) 证书。该证书允许通过 Apple Push 网络进行移动设备管理。

工作流程摘要:

步骤 1: 通过以下任一方法创建证书签名请求 (CSR):

第 2 步: 在 Citrix Endpoint Management 工具中 签署 CSR

步骤 3: 将签名的 CSR 提交给 Apple 以获取 APNs 证书

步骤 4: 使用用于步骤 1 的同一台计算机,完成 CSR 并导出 PKCS #12 文件

步骤 5: 将 APNs 证书导入 Citrix Endpoint Management

步骤 6: 续订 APNs 证书

创建证书签名请求

我们建议您在 macOS 上使用钥匙串访问来创建 CSR。还可以通过 Microsoft IIS 或 OpenSSL 创建 CSR。

重要:

  • 对于用于创建证书的 Apple ID:
    • The Apple ID must be a corporate ID and not a personal ID.
    • Record the Apple ID that you use to create the certificate.
    • To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
  • 如果您无意或有意吊销了该证书,则无法管理自己的设备。

  • 如果使用 iOS Developer Enterprise Program 创建移动设备管理器推送证书:请务必在 Apple Push Certificates Portal 中处理面向迁移的证书的任何操作。

在 macOS 上使用钥匙串访问创建 CSR

  1. 在运行 macOS 的计算机上,在应用程序 > 实用工具下方,启动钥匙串访问应用程序。
  2. 打开钥匙串访问菜单,然后单击证书助理 > 从证书颁发机构请求证书
  3. “证书助理”将提示您输入以下信息:
    • 电子邮件地址: 管理证书的个人或角色帐户的电子邮件地址。
    • 常用名称: 管理证书的个人或角色帐户的公用名称。
    • CA 电子邮件地址: 证书颁发机构的电子邮件地址。
  4. 选择存储到磁盘让我指定密钥对信息选项,然后单击继续
  5. 输入 CSR 文件的名称,在您的计算机上保存此文件,然后单击保存
  6. 指定密钥对信息:选择密钥大小 2048 位以及 RSA 算法,然后单击继续。作为 APNs 证书流程的一部分,CSR 文件已可供上载。
  7. 证书助理完成 CSR 流程后,单击完成
  8. 要继续,请为 CSR 签名

使用 Microsoft IIS 创建 CSR

生成 APNs 证书请求的第一步是创建证书签名请求 (CSR)。对于 Windows,请通过使用 Microsoft IIS 生成 CSR。

  1. 打开 Microsoft IIS。
  2. 双击 IIS 的服务器证书图标。
  3. 服务器证书窗口中,单击创建证书申请
  4. 键入适当的唯一判别名 (DN) 信息。例如,您可以键入 Citrix Endpoint Management 服务器的完全限定域名 (FQDN),例如 www.domain.com。然后,单击下一步
  5. 为加密服务提供程序选择 Microsoft RSA SChannel Cryptographic Provider,并为位长度选择 2048,然后单击下一步
  6. 输入文件名并指定 CSR 的保存位置,然后单击完成
  7. 要继续,请为 CSR 签名

使用 OpenSSL 创建 CSR

如果无法使用 macOS 设备或 Microsoft IIS 生成 CSR,请使用 OpenSSL。可以从 OpenSSL Web 站点下载并安装 OpenSSL。

  1. 在安装了 OpenSSL 的计算机上,从命令提示窗口或 Shell 执行以下命令。

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 此时将显示以下要求证书命名信息的消息。根据请求输入信息。

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    <!--NeedCopy-->
    
  3. 在下一条消息中,输入 CSR 私钥的密码。

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    <!--NeedCopy-->
    
  4. 要继续,请按照下一节中的说明为 CSR 签名。

为 CSR 签名

要在 Citrix Endpoint Management 中使用证书,必须将其提交给 Citrix 进行签名。Citrix 使用其移动设备管理签名证书对 CSR 进行签名,并以 .plist 格式返回签名文件。

  1. 在浏览器中,访问 Citrix Endpoint Management 工具网站,然后单击“请求推送通知证书签名”。

    Citrix Endpoint Management 工具页面

  2. 创建新证书页面上,单击上载 CSR

    “上载 CSR”选项

  3. 浏览并选择证书。

    重要:

    证书必须为 .pem/txt 格式。如果需要,通过右键单击并重命名该文件,将证书的文件扩展名更改为 .pem 或 .txt。

  4. Citrix Endpoint Management APNs 的 CSR 签名页面上,单击“签名”。将为 CSR 签名并将签名后的 CSR 自动保存到已配置的下载文件夹。

  5. 要继续,请按照下一节中的说明提交签名的 CSR。

将签名的 CSR 提交给 Apple 以获取 APNs 证书

收到来自 Citrix 的签名证书签名申请 (CSR) 后,将 CSR 提交给 Apple 以获取导入 Citrix Endpoint Management 所需的 APNs 证书。

注意:

有些用户报告登录 Apple 推送门户时遇到问题。作为替代方法,您可以登录 Apple 开发者门户。然后,您可以按照以下步骤进行操作:

  1. 在浏览器中,转到 Apple 推送证书门户

  2. 单击 Create a Certificate(创建证书)。

  3. 首次使用 Apple 创建证书:选中 I have read and agree to these terms and conditions(我已阅读并同意这些条款和条件)复选框,然后单击 Accept(接受)。

  4. 单击 Choose File(选择文件),浏览到计算机上已签名的 CSR,然后单击 Upload(上载)。此时将显示一条确认消息,指示上载成功。

  5. 单击 Download(下载)以检索 .pem 证书。

  6. 要继续,请完成 CSR 并导出 PKCS #12 文件,如下一节中所述。

完成 CSR 并导出 PKCS #12 文件

收到 Apple 提供的 APNs 证书后,返回到钥匙串访问、Microsoft IIS 或 OpenSSL 以将证书导出到 PCKS #12 文件中。

PKCS #12 文件包含 APNs 证书文件和您的私钥。PFX 文件的扩展名通常为 .pfx 或 .p12。可以互换使用 .pfx 和 .p12 文件。

重要:

Citrix 建议您保存或导出本地系统中的个人密钥和公钥。您需要密钥来访问 APNs 证书以便重复使用。如果没有相同的密钥,您的证书无效,您必须重复执行整个 CSR 和 APNs 过程。

在 macOS 上使用钥匙串访问创建 PKCS #12 文件

重要:

在此任务中使用的 macOS 设备应与生成 CSR 时使用的 macOS 设备相同。

  1. 在设备上,找到从 Apple 收到的生产标识 (.pem) 证书。

  2. 启动钥匙串访问应用程序并导航到登录 > 我的证书选项卡。将产品标识证书拖放到打开的窗口中。

  3. 单击证书并展开左箭头以验证证书是否包含关联的私钥。

  4. 要开始将证书导出到 PCKS #12 (.pfx) 证书中,请选择证书和私钥,单击鼠标右键,然后选择导出 2 个项目

  5. 为证书文件指定一个唯一的名称,以便在 Citrix Endpoint Management 中使用。请勿在名称中包含空格字符。然后,为保存的证书选择一个文件夹位置,选择 .pfx 文件格式,然后单击保存

  6. 输入用于导出证书的密码。Citrix 建议使用具有唯一性的强密码。还要确保证书和密码的安全性,以供以后使用和引用。

  7. 钥匙串访问应用程序将提示您输入登录密码或选定的钥匙串。键入密码,然后单击确定。保存的证书现已准备就绪,可以在 Citrix Endpoint Management 服务器上使用。

  8. 要继续,请参阅将 APNs 证书导入 Citrix Endpoint Management

使用 Microsoft IIS 创建 PKCS #12 文件

重要:

在此任务中使用的 IIS 服务器应与生成 CSR 时使用的 IIS 服务器相同。

  1. 打开 Microsoft IIS。

  2. 单击服务器证书图标。

  3. 服务器证书窗口中,单击完成证书申请

  4. 浏览至来自 Apple 的 Certificate.pem 文件。然后,键入友好名称或证书名称,并单击确定。请勿在名称中包含空格字符。

  5. 选择在步骤 4 中找到的证书,然后单击导出

  6. 指定 .pfx 证书的位置和文件名以及密码,然后单击确定

    您需要证书的密码才能将其导入 Citrix Endpoint Management。

  7. 将.pfx 证书复制到您计划安装 Citrix Endpoint Management 的服务器上。

  8. 要继续,请参阅将 APNs 证书导入 Citrix Endpoint Management

使用 OpenSSL 创建 PKCS #12 文件

如果您使用 OpenSSL 创建 CSR,还可以使用 OpenSSL 创建 .pfx APNs 证书。

  1. 在命令提示符或 shell 下,执行以下命令。Customer.privatekey.pem 为来自 CSR 的私钥。APNs_Certificate.pem 为您刚从 Apple 收到的证书。

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. 输入 .pfx 证书文件的密码。记住此密码,因为在将证书上载到 Citrix Endpoint Management 时会再次使用该密码。

  3. 记下 .pfx 证书文件的位置。然后,将文件复制到 Citrix Endpoint Management 服务器,这样您就可以使用控制台上载文件了。

  4. 要继续,请按照下一节的说明将 APNs 证书导入 Citrix Endpoint Management。

将 APNs 证书导入 Citrix Endpoint Management

收到新的 APNs 证书后:将 APNs 证书导入 Citrix Endpoint Management 以首次添加证书或替换证书。

  1. 在 Citrix Endpoint Management 控制台中,转到设置 > 证书

  2. 单击导入 > 密钥库

  3. 用作中,选择 APNs

  4. 浏览到计算机上的 .pfx 或 .p12 文件。

  5. 输入密码,然后单击导入

有关 Citrix Endpoint Management 中证书的更多信息, 请参阅证书和身份验证。

续订 APNs 证书

重要:

如果您在续订过程中使用其他 Apple ID,则必须重新注册用户设备。

要续订 APNs 证书,请执行创建证书的步骤,然后转到 Apple Push Certificates Portal。使用该门户上载新证书。登录后,将显示您的现有证书或者从您之前的 Apple 开发人员帐户导入的证书。

在 Certificates Portal 中,续订证书的唯一区别是要单击 Renew(续订)。您必须在 Certificates Portal 上拥有开发人员帐户才能访问该站点。要续订证书,请使用相同的组织名称和 Apple ID。

要确定您的 APNs 证书何时过期,请在 Citrix Endpoint Management 控制台中转到设置 > 证书。如果证书过期,请不要吊销。

  1. 使用 Microsoft IIS、钥匙串访问 (macOS) 或 OpenSSL 生成 CSR。有关生成 CSR 的详细信息,请参阅创建证书签名请求

  2. 在浏览器中,转到 Citrix Endpoint Management 工具。然后,单击 Request push notification certificate signature(申请推送通知证书签名)。

  3. 单击 + Upload the CSR(+ 上载 CSR)。

  4. 在对话框中,导航到 CSR,单击 Open(打开),然后单击 Sign(签名)。

  5. 收到 .plist 文件时,将其保存。

  6. 在步骤 3 标题中,单击 Apple Push Certificates Portal 并登录。

  7. 选择要续订的证书,然后单击 Renew(续订)。

  8. 上载 .plist 文件。您将收到输出文件 .pem。保存 .pem 文件。

  9. 使用该 .pem 文件完成 CSR(根据您在步骤 1 中创建 CSR 时使用的方法)。

  10. 将证书导出为 .pfx 文件。

在 Citrix Endpoint Management 控制台中,导入.pfx 文件并按如下方式完成配置:

  1. 转到设置 > 证书 > 导入
  2. 导入菜单中,选择密钥库
  3. 密钥库类型 菜单中,选择 PKCS #12
  4. 用作中,选择 APNs

    “导入证书”对话框

  5. 对于密钥库文件,单击浏览并导航到该文件。
  6. 密码中,键入证书密码。
  7. 键入可选说明
  8. 单击导入

Citrix Endpoint Management 将您重定向回证书页面。名称状态有效期开始时间有效期结束时间字段将更新。

APNs 证书