导引和证书
要在端点管理中注册和管理苹果设备,您需要设置来自苹果的苹果推送通知服务(APNs)证书。该证书允许通过Apple Push Network管理移动设备。
工作流程简介:
步骤1:创建证书签名请求(CSR)通过以下任何方法:
步骤2:CSR迹象在端点管理工具
步骤4:使用与第一步相同的电脑,完成CSR并导出PKCS #12文件:
步骤5:将APNs证书导入Endpoint Management
步骤6:更新APNs证书
创建证书签名请求
我们建议您在macOS上使用Keychain Access创建CSR。还可以使用Microsoft IIS或OpenSSL创建CSR。
重要的是:
- 用于创建证书的Apple ID:
- Apple ID必须是公司ID,而不是个人ID。
- 记录用于创建证书的Apple ID。
- 要续签证书,请使用相同的组织名称和Apple ID。使用不同的Apple ID更新证书需要重新注册设备。
如果您意外或有意地撤销证书,您将失去管理设备的能力。
- 如果您使用iOS Developer Enterprise Program创建移动设备管理器推送证书:请确保在Apple push certificates Portal中处理迁移证书的任何操作。
在macOS上使用Keychain Access创建CSR
- 在一台运行macOS的电脑上应用程序>实用工具,启动Keychain Access应用程序。
- 打开钥匙链访问菜单,然后点击证书助理>从证书颁发机构请求证书.
- 证书助理提示您输入以下信息:
- 电子邮件地址:负责管理证书的个人或角色帐户的电子邮件地址。
- 共同的名字:负责管理证书的个人帐户或角色帐户的通用名称。
- CA的电子邮件地址:证书颁发机构的电子邮件地址。
- 选择保存到磁盘和让我指定密钥对信息选项,然后单击继续.
- 输入CSR文件的名称,将文件保存在计算机上,然后单击保存.
- 指定密钥对信息:选择关键尺寸2048位和RSA算法然后点击继续.CSR文件已经准备好供您作为APNs证书过程的一部分进行上传。
- 点击完成证书助理完成CSR过程时。
- 继续,CSR迹象.
使用Microsoft IIS创建CSR
生成APNs证书请求的第一步是创建证书签名请求(CSR)。对于Windows,使用Microsoft IIS生成CSR。
- 开放的Microsoft IIS。
- 双击IIS的服务器证书图标。
- 在服务器证书窗口中,单击创建证书请求.
- 输入适当的专有名称(Distinguished Name, DN)信息。例如,您可以键入端点管理服务器的完全限定域名(FQDN),例如
www.domain.com.然后单击下一个. - 选择Microsoft RSA通道加密提供程序用于加密服务提供者和2048为位长,然后单击下一个.
- 输入文件名并指定保存CSR的位置,然后单击完成.
- 继续,CSR迹象.
使用OpenSSL创建CSR
如果不能使用macOS设备或Microsoft IIS来生成CSR,请使用OpenSSL。您可以从OpenSSL网站下载并安装OpenSSL。
在安装OpenSSL的计算机上,从命令提示符或shell执行以下命令。
openssl req -new -keyout Customer.key.pem -out companyapncertificate .pem -outcsr newkey rsa: 2048出现以下证书命名信息的消息。按要求输入信息。
您将被要求输入将合并到您的证书请求中的信息。您将要输入的是所谓的区分名或DN。有相当多的字段,但你可以留下一些空白,有些字段会有一个默认值,如果你输入'。'时,该字段将为空。-----国家名称(2字母代码)[AU]:美国州或省名称(全名)[一些州]:CA地区名称(如,城市)[]:RWC组织名称(如,公司)[Internet Widgits Pty Ltd]:客户组织单位名称(如,部门)[:市场通用名称(如,您的名字)[]:John Doe电子邮件地址[]:john.doe@customer.com在下一条消息中,输入CSR私钥的密码。
A challenge password []: An optional company name []:要继续,请按照下一节的描述对CSR进行签名。
CSR迹象
要在端点管理中使用证书,必须将其提交给Citrix进行签名。Citrix使用其移动设备管理签名证书对CSR进行签名,并以.plist格式。
在浏览器中,进入端点管理工具,然后点击请求推送通知证书签名.
![端点管理工具页面]()
在创建新的证书页面,点击上传企业社会责任.
![上传CSR选项]()
浏览并选择证书。
证书文件必须为。pem/txt格式。
在端点管理APNs CSR签名页面,点击标志.CSR被签名并自动保存到您配置的下载文件夹。
要继续,请按照下一节的描述提交签名的CSR。
将签名后的CSR提交给Apple获取APNs证书
从Citrix收到您签署的证书签名请求(CSR)后,将CSR提交给苹果,以获得所需的APNs证书导入到Endpoint Management。
注意:
一些用户报告了登录苹果推送门户的问题。作为一种替代方法,您可以登录到苹果开发者门户.然后您可以按照以下步骤进行操作。
在浏览器中,转到Apple Push Certificates Portal.
点击创建一个证书.
第一次使用Apple创建证书时:选择我已阅读并同意这些条款和条件复选框,然后单击接受.
点击选择文件,浏览计算机上已签名的CSR,然后单击上传.有确认消息表示上传成功。
点击下载检索.pem证书。
要继续,请按照下一节的描述完成CSR并导出PKCS #12文件。
完成CSR并导出PKCS #12文件
从Apple收到APNs证书后,返回Keychain Access、Microsoft IIS或OpenSSL,将证书导出为PCKS #12文件。
PKCS #12文件包含APNS证书文件和您的私钥。PFX文件的扩展名通常为。PFX或。p12。.pfx和.p12文件可以互换使用。
重要的是:
Citrix建议您从本地系统保存或导出个人密钥和公钥。您需要使用密钥访问APNs证书以实现重用。如果没有相同的密钥,您的证书是无效的,您必须重复整个CSR和apn过程。
在macOS上使用Keychain Access创建一个PKCS #12文件
重要的是:
在此任务中使用用于生成CSR的相同macOS设备。
在设备上,找到从Apple收到的Production identity (.pem)证书。
启动Keychain Access应用程序并导航到登录>我的证书选项卡。将产品标识证书拖放到打开的窗口上。
单击证书并展开左箭头,以验证证书包含关联的私钥。
要开始将证书导出为PCKS #12 (.pfx)证书,请选择证书和私钥,右键单击并选择出口2项.
为证书文件指定一个用于端点管理的唯一名称。名称中不要包含空格字符。然后选择保存证书的文件夹位置,选择“。pfx”文件格式,单击保存.
输入导出证书的密码。思杰建议您使用唯一的、强密码。另外,请确保证书和密码的安全,以便以后使用和参考。
Keychain Access应用程序提示您输入登录密码或所选的Keychain。输入密码,然后单击好吧.保存的证书现在可以与Endpoint Management服务器一起使用了。
使用Microsoft IIS创建PKCS #12文件
重要的是:
为此任务使用用于生成CSR的同一IIS服务器。
开放的Microsoft IIS。
单击服务器证书图标。
在服务器证书窗口中,单击完整的证书请求.
浏览到证书。从Apple. pem文件。然后,键入友好的名称或证书名称并单击好吧.名称中不要包含空格字符。
选择您在步骤4中识别的证书,然后单击出口.
指定.pfx证书的位置、文件名和密码,然后单击好吧.
您需要证书的密码才能将其导入Endpoint Management。
将.pfx证书复制到计划安装Endpoint Management的服务器。
使用OpenSSL创建PKCS #12文件
如果使用OpenSSL创建CSR,也可以使用OpenSSL创建。pfx APNs证书。
在命令提示符或shell中,执行以下命令。
Customer.privatekey.pem是来自CSR的私钥。APNs_Certificate.pem是你刚从苹果收到的证书。openssl pkcs12 -export -in APNs_Certificate. exeapns_identity.pfx .pem -inkey Customer.privatekey.pem -out输入。pfx证书文件的密码。请记住此密码,因为在将证书上传到Endpoint Management时将再次使用该密码。
请注意.pfx证书文件的位置。然后,将文件复制到Endpoint Management服务器,以便使用控制台上传文件。
要继续,请按照下一节的描述将APNs证书导入Endpoint Management。
将APNs证书导入Endpoint Management
收到新的APNs证书后:将APNs证书导入到Endpoint Management中,用于首次添加证书或替换证书。
在端点管理控制台中,转到设置>证书.
点击进口>密钥存储库.
从使用,选择比例导引.
浏览到计算机上的。pfx或。p12文件。
输入密码,然后单击进口.
有关端点管理中证书的更多信息,请参见证书和认证.
更新APNs证书
重要的是:
如果您使用不同的Apple ID进行续签,则必须重新注册用户设备。
如果需要续签APNs证书,请执行以下步骤创建证书,然后进入Apple Push Certificates Portal.使用该门户上传新证书。登录后,您现有的证书或从您以前的苹果开发者帐户导入的证书将出现。
在Certificates Portal中,更新证书时的唯一区别是单击更新.您必须拥有证书门户的开发人员帐户才能访问该站点。要续签证书,请使用相同的组织名称和Apple ID。
要确定APNs证书何时到期,请在端点管理控制台中转到设置>证书.如果证书过期,不要撤销它。
使用Microsoft IIS、macOS或OpenSSL生成CSR。有关生成CSR的更多信息,请参见创建证书签名请求.
在浏览器中,转到端点管理工具.然后,单击请求推送通知证书签名.
点击+上传CSR.
在对话框中,导航到CSR,单击开放,然后单击标志.
当你收到
.plist文件,将其保存。在步骤3的标题中,单击Apple Push Certificates Portal并签署。
选择要续签的证书,然后单击更新.
上传
.plist文件。您将收到一个.pem文件作为输出。保存。pem文件。使用这个.pem文件,完成CSR(根据在步骤1中创建CSR的方法)。
将证书导出为。pfx文件。
在Endpoint Management控制台中导入。pfx文件,完成如下配置:
- 去>证书>导入.
- 从导入菜单,选择密钥存储库.
- 从密钥存储库类型菜单中,选择PKCS # 12.
从使用,选择比例导引.
![导入证书对话框]()
- 为密钥存储库文件,点击浏览并导航到文件。
- 在密码,输入证书密码。
- 类型的一个可选的描述.
- 点击进口.
端点管理将您重定向回证书页面。的的名字,状态,有效的从,有效的更新字段。