APNs-Zertifikate

Wichtig:

Apple stellt die Unterstützung für das Legacy-APNs-Binärprotokoll am 31. März 2021 ein. Apple empfiehlt, stattdessen die Verwendung der HTTP/2-basierten APNS-Anbieter-API zu verwenden. Ab Version 10.13.0 unterstützt XenMobile Server die HTTP/2-basierte API. Weitere Informationen finden Sie unter “Apple Push Notification Service Update” aufhttps://developer.apple.com/. Informationen zum Überprüfen der Konnektivität zu APNs finden Sie unterKonnektivitätsprüfungen.

Zum Registrieren und Verwalten von iOS- und macOS-Geräten mit XenMobile müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten.

Workflowzusammenfassung:

• Schritt 1:Erstellen einer Zertifikatsignieranforderung(CSR) mit einer der folgenden Methoden:

  • Erstellen einer Zertifikatsignieranforderung mit der Schlüsselbundverwaltung in macOS(empfohlen von Citrix)
  • Erstellen einer Zertifikatsignieranforderung mit Microsoft IIS
  • Erstellen einer Zertifikatsignieranforderung mit OpenSSL

• Schritt 2:Signieren der CSRin XenMobile Tools

• Schritt 3:Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats

• Schritt 4:Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Dateiauf demselben Computer, der für Schritt 1 verwendet wurde:

  • Erstellen einer PKCS#12-Datei mit der Schlüsselbundverwaltung unter macOS
  • Erstellen einer PKCS#12-Datei mit Microsoft IIS
  • Erstellen静脉PKCS # 12-Datei麻省理工学院OpenSSL

• Schritt 5:Importieren eines APNs-Zertifikats in XenMobile

• Schritt 6:Erneuern eines APNs-Zertifikats

Erstellen einer Zertifikatsignieranforderung

Es wird empfohlen, eine Zertifikatsignieranforderung (CSR) mit der Schlüsselbundverwaltung in macOS zu erstellen. Sie können eine CSR auch mit Microsoft IIS oder OpenSSL erstellen.

Wichtig:

• Für die beim Erstellen des Zertifikats verwendete Apple-ID gilt:
  • The Apple ID must be a corporate ID and not a personal ID.
  • Record the Apple ID that you use to create the certificate.
  • To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device reenrollment.

• Wenn Sie ein Zertifikat aus Versehen oder absichtlich widerrufen, können Sie die Geräte nicht mehr verwalten.

• Wenn Sie mit dem iOS Developer Enterprise Program ein Push-Zertifikat für die Mobilgeräteverwaltung erstellt haben, müssen Sie sämtliche Aktionen für die migrierten Zertifikate im Apple Push Certificates Portal ausführen.

Erstellen einer Zertifikatsignieranforderung mit der Schlüsselbundverwaltung in macOS

1. Starten Sie auf einem Computer mit macOS unterAnwendungen > Dienstprogrammedie Schlüsselbundverwaltung (Keychain Access).
2. Klicken Sie im MenüKeychain AccessaufCertificate Assistant > Request a Certificate From a Certificate Authority.
3. Der Zertifikatassistent fordert Sie zur Eingabe folgender Informationen auf:
   • Email Address:E-Mail-Adresse des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
   • Common Name:allgemeiner Name des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
   • CA Email Address:E-Mail-Adresse der Zertifizierungsstelle.
4. Wählen SieSaved to diskundLet me specify key pair informationund klicken Sie aufContinue.
5. Geben Sie einen Namen für die CSR-Datei ein, speichern Sie die Datei auf Ihrem Computer und klicken Sie dann aufSave.
6. Als Schlüsselpaarinformationen wählen Sie fürKey Sizeden Wert “2048 bits” und unterRSA algorithmden RSA-Algorithmus aus. Klicken Sie dann aufContinue. Die CSR-Datei kann nun als Teil des APNs-Zertifikatverfahrens hochgeladen werden.
7. Klicken Sie aufDone, wenn der Assistent den Prozess abgeschlossen hat.
8. Als Nächstessignieren Sie die Zertifikatsignieranforderung.

Erstellen einer Zertifikatsignieranforderung mit Microsoft IIS

Der erste Schritt zum Generieren einer APNs-Zertifikatanforderung ist das Erstellen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Generieren Sie die CSR für Windows mit Microsoft IIS.

1. Öffnen Sie Microsoft IIS.
2. Doppelklicken Sie auf das Serverzertifikatesymbol für IIS.
3. Klicken Sie im FensterServerzertifikateaufZertifikatanforderung erstellen.
4. Geben Sie den Distinguished Name (DN) ein und klicken Sie aufWeiter.
5. Wählen SieMicrosoft RSA SChannel Cryptographic Providerals Kryptografieanbieter und2048als Bitlänge aus. Klicken Sie dann aufWeiter.
6. Geben Sie einen Dateinamen für die Zertifikatanforderung ein wählen Sie einen Speicherort aus und klicken Sie dann aufFertig stellen.
7. Als Nächstessignieren Sie die Zertifikatsignieranforderung.

Erstellen einer Zertifikatsignieranforderung mit Open SSL

Wenn Sie kein macOS-Gerät oder Microsoft IIS zum Generieren einer Zertifikatsignieranforderung verwenden können, verwenden Sie OpenSSL. Sie können OpenSSL von der OpenSSL-Website herunterladen und installieren.

1. Führen Sie auf dem Computer, auf dem Sie OpenSSL installieren, folgenden Befehl an einer Eingabeaufforderung oder Shell aus.

   openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

2. Die folgende Meldung bezüglich der Informationen für die Zertifikatbenennung wird angezeigt. Geben Sie die Informationen wie angefordert ein.

   You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com 

3. Geben Sie bei der nächsten Meldung ein Kennwort für den privaten CSR-Schlüssel ein.

   请enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 

4. Um fortzufahren, signieren Sie die Zertifikatsignieranforderung wie im nächsten Abschnitt beschrieben.

Signieren der Zertifikatsignieranforderung

Um ein Zertifikat mit XenMobile zu verwenden, übermitteln Sie es zum Signieren an Citrix. Citrix signiert die Zertifikatsignieranforderung mit seinem Zertifikat für die Mobilgeräteverwaltung und sendet die signierte Datei im.plist-Format zurück.

1. Wechseln Sie in Ihrem Browser zu der WebsiteEndpoint Management Toolsund klicken Sie dann aufRequest push notification certificate signature.

   

2. Klicken Sie auf der SeiteCreating a new certificateaufUpload the CSR.

   

3. Navigieren Sie zu dem Zertifikat und wählen Sie es aus.

   Das Zertifikat muss im PEM/TXT-Format vorliegen.

4. Klicken Sie auf der SeiteEndpoint Management APNs CSR SigningaufSign. Die CSR wird signiert und automatisch im konfigurierten Downloadordner gespeichert.

5. Um fortzufahren, übermitteln Sie die signierte CSR wie im nächsten Abschnitt beschrieben.

Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats

Nach Erhalt der signierten Zertifikatsignieranforderung (CSR) von Citrix senden Sie diese an Apple, um das APNs-Zertifikat zu erhalten, das Sie in XenMobile importieren müssen.

Hinweis:

Es gibt Berichte über Probleme mit der Anmeldung beim Apple Push Portal. Melden Sie sich alternativ beimApple Developer Portalan und folgen Sie dann diesen Schritten.

1. Rufen Sie in einem Browser dasApple Push Certificates Portalauf.

2. Klicken Sie aufCreate a Certificate.

3. Wenn Sie zum ersten Mal ein Zertifikat von Apple anfordern, aktivieren Sie das KontrollkästchenI have read and agree to these terms and conditionsund klicken Sie aufAccept.

4. Klicken Sie aufChoose File, navigieren Sie auf Ihrem Computer zu der signierten CSR und klicken Sie aufUpload. Eine Bestätigungsmeldung zeigt an, dass der Upload erfolgreich war.

5. Klicken Sie aufDownload, um das PEM-Zertifikat abzurufen.

6. Um fortzufahren, signieren Sie die Zertifikatsignieranforderung (CSR) und exportieren eine PKCS#12-Datei, wie im nächsten Abschnitt beschrieben.

Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei

Nach dem Erhalt des APNs-Zertifikats von Apple kehren Sie zu Keychain Access, Microsoft IIS oder OpenSSL zurück, um das Zertifikat in eine PCS#12-Datei zu exportieren.

Eine PKCS#12-Datei enthält die APNs-Zertifikatdatei und Ihren privaten Schlüssel. PFX-Dateien haben normalerweise die Erweiterung .pfx oder .p12. Sie können PFX- und P12-Dateien austauschbar verwenden.

Wichtig:

Citrix empfiehlt, die persönlichen und öffentlichen Schlüssel vom lokalen System zu speichern oder zu exportieren. Sie benötigen die Schlüssel, um auf die APNs-Zertifikate erneut zuzugreifen. Ohne dieselben Schlüssel ist Ihr Zertifikat ungültig, und Sie müssen den gesamten CSR- und APNs-Prozess wiederholen.

Erstellen einer PKCS#12-Datei mit der Schlüsselbundverwaltung unter macOS

Wichtig:

Verwenden Sie für diese Aufgabe dasselbe macOS-Gerät, mit dem Sie die Zertifikatsignieranforderung erstellt haben.

1. Suchen Sie auf dem Gerät das Produktidentitätszertifikat (.pem), das Sie von Apple erhalten haben.

2. Starten Sie die Schlüsselbundverwaltung und navigieren Sie zur RegisterkarteLogin > My Certificates. Ziehen Sie das Produktidentitätszertifikat mit der Maus auf das geöffnete Fenster und legen Sie es dort ab.

3. Klicken Sie auf das Zertifikat und dann auf den Pfeil links, um zu überprüfen, ob das Zertifikat den zugehörigen privaten Schlüssel enthält.

4. Zum Exportieren des Zertifikats in das Format PCKS#12 (.pfx) wählen Sie das Zertifikat und den privaten Schlüssel, klicken mit der rechten Maustaste und wählenExport 2 items.

5. Geben Sie der Zertifikatdatei einen eindeutigen Namen für die Verwendung mit XenMobile. Verwenden Sie kein Leerzeichen im Namen. Wählen Sie einen Speicherort für das gespeicherte Zertifikat und das PFX-Dateiformat und klicken Sie aufSpeichern.

6. Geben Sie ein Kennwort zum Exportieren des Zertifikats ein. Citrix empfiehlt die Verwendung eines eindeutigen sicheren Kennworts. Bewahren Sie außerdem Zertifikat und Kennwort zur späteren Verwendung auf.

7. Die Schlüsselbundverwaltung fordert Sie zur Eingabe des Anmeldekennworts oder des ausgewählten Schlüsselbunds auf. Geben Sie das Kennwort ein und klicken Sie aufOK. Das gespeicherte Zertifikat kann nun in XenMobile Server verwendet werden.

8. Weitere Informationen finden Sie unterImportieren eines APNs-Zertifikats in XenMobile.

Erstellen einer PKCS#12-Datei mit Microsoft IIS

Wichtig:

Verwenden Sie für diese Aufgabe denselben IIS-Server, mit dem Sie die Zertifikatsignieranforderung erstellt haben.

1. Öffnen Sie Microsoft IIS.

2. Klicken Sie auf dasServerzertifikatesymbol.

3. Klicken Sie im FensterServer CertificatesaufComplete Certificate Request.

4. Navigieren Sie zu der Datei Certificate.pem von Apple. Geben Sie dann einen Anzeigenamen oder den Zertifikatnamen ein und klicken Sie aufOK. Verwenden Sie kein Leerzeichen im Namen.

5. Wählen Sie das in Schritt 4 identifizierte Zertifikat und klicken Sie aufExport.

6. Geben Sie einen Speicherort und einen Dateinamen für das PFX-Zertifikat sowie ein Kennwort ein und klicken Sie aufOK.

   Sie benötigen das Kennwort für das Zertifikat, um es in XenMobile zu importieren.

7. Kopieren Sie die PFX-Zertifikatdatei auf den Server, auf dem XenMobile installiert werden soll.

8. Weitere Informationen finden Sie unterImportieren eines APNs-Zertifikats in XenMobile.

Erstellen静脉PKCS # 12-Datei麻省理工学院OpenSSL

Falls Sie eine Zertifikatsignieranforderung mit OpenSSL erstellen, können Sie damit auch ein APNs-Zertifikat im PFX-Format erstellen.

1. Führen Sie an einer Eingabeaufforderung oder Shell den nachfolgenden Befehl aus.Customer.privatekey.pemist der private Schlüssel aus Ihrer CSR undAPNs_Certificate.pemdas von Apple erhaltene Zertifikat.

   openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

2. Geben Sie ein Kennwort für die PFX-Datei ein. Merken Sie sich das Kennwort, denn Sie benötigen es wieder, wenn Sie das Zertifikat in XenMobile hochladen.

3. Notieren Sie den Speicherort der PFX-Zertifikatsdatei. Kopieren Sie dann die Datei auf den XenMobile-Server, damit Sie sie mit der Konsole hochladen können.

4. Um fortzufahren, importieren Sie wie im nächsten Abschnitt beschrieben ein APNs-Zertifikat in XenMobile.

Importieren eines APNs-Zertifikats in XenMobile

Nachdem Sie ein neues APNs-Zertifikat empfangen haben, importieren Sie das APNs-Zertifikat in XenMobile – entweder als erstes Zertifikat oder als Ersatz für ein bestehendes Zertifikat.

1. Gehen Sie in der XenMobile-Konsole zuEinstellungen > Zertifikate.

2. Klicken Sie aufImportieren > Schlüsselspeicher.

3. Wählen Sie unterVerwenden alsdie OptionAPNs.

4. Navigieren您祖茂堂der可以,、P12-Datei再见您m Computer.

5. Geben Sie das Kennwort ein und klicken Sie aufImportieren.

Weitere Informationen über Zertifikate in XenMobile finden Sie unterZertifikate und Authentifizierung.

Erneuern eines APNs-Zertifikats

Wichtig:

Wenn Sie zum Erneuern des Zertifikats eine andere Apple-ID verwenden, müssen Sie die Benutzergeräte neu registrieren.

Um ein APNs-Zertifikat zu erneuern, führen Sie die Schritte zum Erstellen eines Zertifikats aus und rufen dann dasApple Push Certificates Portalauf. Verwenden Sie dieses Portal, um das neue Zertifikat hochzuladen. Nach der Anmeldung wird Ihr vorhandenes Zertifikat oder ein aus Ihrem vorherigen Apple Developer-Konto importiertes Zertifikat angezeigt.

Im Portal besteht der einzige Unterschied beim Erneuern des Zertifikats darin, dass Sie aufRenewklicken. Sie müssen ein Developer-Konto für das Portal haben, um auf die Website zugreifen zu können. Verwenden Sie beim Erneuern des Zertifikats denselben Organisationsnamen und dieselbe Apple-ID.

Um herauszufinden, wann Ihr APNs-Zertifikat abläuft, gehen Sie in der XenMobile-Konsole zuKonfigurieren > Einstellungen > Zertifikate. Widerrufen Sie das Zertifikat nicht, falls es abläuft.

1. Generieren Sie eine Zertifikatsignieranforderung mit IIS (Microsoft), Keychain Access (macOS) oder OpenSSL. Weitere Informationen zum Generieren einer Zertifikatsignieranforderung finden Sie unterErstellen einer Zertifikatsignieranforderung.

2. Rufen Sie im Browser dieEndpoint Management Toolsauf. Klicken Sie dann aufRequest push notification certificate signature.

3. Klicken Sie auf+ Upload the CSR.

4. Navigieren Sie im Dialogfeld zur CSR, klicken Sie aufOpenund dann aufSign.

5. Wenn Sie eine.plist-Datei erhalten, speichern Sie sie.

6. Klicken Sie im Titel von Schritt 3 aufApple Push Certificates Portalund melden Sie sich an.

7. Wählen Sie das zu erneuernde Zertifikat aus und klicken Sie aufRenew.

8. Laden Sie die.plist-Datei hoch. Sie erhalten dann eine PEM-Datei als Ausgabe. Speichern Sie die PEM-Datei.

9. Schließen Sie mithilfe der PEM-Datei die CSR ab (entsprechend der Methode, die Sie zum Erstellen der CSR in Schritt 1 verwendet haben).

10. Exportieren Sie das Zertifikat als PFX-Datei.

Importieren Sie die PFX-Datei in der XenMobile-Konsole und schließen Sie die Konfiguration wie folgt ab:

1. Gehen Sie zuEinstellungen > Zertifikate > Importieren.
2. Wählen Sie im MenüImportierendie OptionSchlüsselspeicher.
3. Wählen Sie im MenüSchlüsselspeichertypdie OptionPKCS#12.

4. Wählen Sie unterVerwenden alsdie OptionAPNs.

   

5. Klicken Sie fürSchlüsselspeicherdateiaufDurchsuchenund navigieren Sie zu der Datei.
6. Geben Sie unterKennwortdas Kennwort für das Zertifikat ein.
7. Geben Sie optional eineBeschreibungein.
8. Klicken Sie aufImportieren.

XenMobile zeigt nun wieder die SeiteZertifikatean. Die FelderName,Status,Gültig vonundGültig biswerden aktualisiert.