上传、更新和更新证书

我们建议您列出端点管理部署所需的证书。使用该列表跟踪证书过期日期和密码。本文将帮助您管理证书的整个生命周期。

您的环境可能包括以下证书:

• 端点管理服务器
  • MDM FQDN SSL证书(从XenMobile Server迁移到Endpoint Management时需要;否则，由思杰管理此证书)
  • SAML证书(用于Citrix文件)
  • 上述证书和任何其他内部资源(StoreFront/Proxy等)的根CA证书和中间CA证书
  • APNs iOS设备管理证书
  • 用于连接到PKI的PKI用户证书(如果您的环境需要基于证书的身份验证)
• MDX工具包
  • 苹果开发者证书
  • Apple Provisioning Profile(每个应用程序)
  • Apple APNs证书(用于Citrix安全邮件)
  • Android Keystore文件
  • Windows Phone–数字证书

  MAM SDK不封装应用程序，所以它不需要证书。

• Citrix网关
  • MDM FQDN SSL证书
  • 网关FQDN SSL证书
  • 共享文件SZC FQDN的SSL证书
  • Exchange负载均衡SSL证书(卸载配置)
  • StoreFront负载均衡SSL证书
  • 根CA证书和中间CA证书

上传证书

您上传的每个证书在Certificates表中都有一个条目，包括其内容的摘要。配置需要证书的PKI集成组件时，请选择符合条件的服务器证书。例如，您可能希望将端点管理配置为与您的Microsoft证书颁发机构(CA)集成。必须使用客户端证书对到Microsoft CA的连接进行身份验证。

端点管理可能不拥有给定证书的私钥。同样，端点管理可能不需要上传证书的私钥。

介绍上传证书的一般操作步骤。客户端证书的创建、上传和配置请参见客户端证书或证书加域认证．

上传证书有两种选择:

• 将证书分别上传到控制台。
• 使用RESTAPI执行证书的批量上载。此选项仅适用于iOS设备。

在向控制台上传证书时，您可以:

• 导入密钥存储库。然后，确定要安装的密钥存储库中的条目，除非上传的是PKCS #12格式。
• 导入证书。

您可以上传CA用于签名请求的CA证书(不需要私钥)。您还可以上传SSL客户端证书(带有私钥)用于客户端身份验证。

配置Microsoft CA实体时，请指定CA证书。您可以从属于CA证书的所有服务器证书列表中选择CA证书。同样，在配置客户端身份验证时，可以从端点管理具有私钥的所有服务器证书的列表中进行选择。

导入密钥存储库

密钥存储库是安全证书的存储库。按照设计，密钥存储库可以包含多个条目。从密钥存储库加载时，必须指定标识要加载的条目的条目别名。如果不指定别名，则加载存储的第一个条目。因为PKCS #12文件通常只包含一个条目，当您选择PKCS #12作为密钥存储类型时，别名字段不会出现。

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。使用搜索栏找到并打开证书背景

2. 点击进口．的进口对话框出现了。

3. 配置这些设置:

   • 进口:选择密钥存储库．
   • 密钥存储库类型:在列表中，单击PKCS # 12．
   • 使用:在列表中，单击计划如何使用证书。可供选择的选项有:
     • 服务器:服务器证书是端点管理功能上使用的证书。您将服务器证书上传到端点管理web控制台。这些证书包括CA证书、RA证书和用于使用基础结构的其他组件进行客户端身份验证的证书。此外，您还可以使用服务器证书作为要部署到设备上的证书的存储。这种用法尤其适用于用于在设备上建立信任的ca。
     • SAML:安全断言标记语言(SAML)认证允许您提供对服务器、网站和应用程序的SSO访问。
     • 前置:来自苹果的APNs证书可以通过苹果Push网络管理移动设备。
     • SSL侦听器:安全套接字层(SSL)侦听器将SSL加密活动通知端点管理。
   • 密钥存储库文件:浏览以找到要导入的密钥存储库。密钥存储库是一个.p12或.pfx文件。选择文件并单击打开．
   • 密码:输入分配给证书的密码。
   • 描述:可以选择键入密钥存储库的描述，以帮助您将它与其他密钥存储库区分开来。

4. 点击进口．keystore被添加到Certificates表中。

导入证书

在导入证书时，端点管理尝试从输入构造一个证书链。端点管理导入链中的所有证书，为每个证书创建服务器证书条目。只有当文件或密钥库条目中的证书确实形成了一个链时，此操作才有效。链中的每个后续证书都必须是前一个证书的颁发者。

可为已导入的证书添加可选描述信息。该描述仅附加到链中的第一个证书。后续可更新剩余证书的描述信息。

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。使用搜索栏找到并打开证书背景

2. 在证书页面,点击进口．的进口对话框出现了。配置如下:

   • 进口:点击证明书．
   • 使用:选择您计划如何使用证书。可供选择的选项有:
     • 服务器:服务器证书是端点管理功能上使用的证书。您将服务器证书上传到端点管理web控制台。这些证书包括CA证书、RA证书和用于使用基础结构的其他组件进行客户端身份验证的证书。此外，您还可以使用服务器证书作为要部署到设备上的证书的存储。这个选项特别适用于用于在设备上建立信任的ca。
     • SAML:安全断言标记语言(SAML)认证允许您提供对服务器、网站和应用程序的单点登录(SSO)访问。
     • SSL侦听器:安全套接字层(SSL)侦听器将SSL加密活动通知端点管理。
   • 证书导入:浏览以找到要导入的证书。选择文件并单击打开．
   • 私钥文件：浏览以查找证书的可选私钥文件。私钥与证书一起用于加密和解密。选择文件并单击打开．
   • 描述:输入证书的描述(可选)，以帮助您从其他证书中识别它。

3. 点击进口. 证书将添加到证书表中。

使用REST API批量上传证书

有时一次上传一个证书是不合理的。在这些情况下，使用REST API执行证书的批量上传。该方法支持。p12格式的证书。有关REST API的更多信息，请参见REST api．

1. 以该格式重命名每个证书文件device_identity_value.p12．的device_identity_value可以是每个设备的IMEI、Serial Number或MEID。

   例如，您选择使用序列号作为标识方法。一个设备有一个序列号A12BC3D4EFGH，因此命名希望安装在该设备上的证书文件A12BC3D4EFGH.p12．

2. 创建一个文本文件来存储.p12证书的密码。在该文件中，在新行上为每个设备键入设备标识符和密码。使用格式device_identity_value =密码．见以下:

   A12BC3D4EFGH.p12 =密码!A12BC3D4EFIJ。p12 = password2@ A12BC3D4EFKL。p12 = password3 # < !——NeedCopy >

3. 将您创建的所有证书和文本文件打包到.zip文件中。
4. 启动REST API客户机，登录到Endpoint Management，并获得一个身份验证令牌。

5. 导入您的证书，确保在消息体中放入以下内容:

   {"alias": ""， "useAs": "device"， "uploadType": "keystore"， "keystoreType": "PKCS12"， "identityType":"SERIAL_NUMBER"， #身份类型可为"SERIAL_NUMBER"，"IMEI"，"MEID" "credentialFileName":"credential.txt" #证书文件名，格式为。zip} 

6. 创建证书类型的VPN策略总是在IKEv2以及设备认证方法基于设备标识的设备证书．选择设备身份类型您在证书文件中使用了名称。看见VPN设备政策．

7. 注册iOS设备，等待VPN策略部署完成。检查设备的MDM配置，确认证书的安装。您还可以在Endpoint Management控制台中检查设备详细信息。

您还可以通过使用创建文本文件来批量删除证书device_identity_value列出要删除的每个证书。在REST API中，调用delete API并使用以下请求，替换device_identity_value使用适当的标识符：

``` {"identityType"="device_identity_value"} “”

更新证书

端点管理一次只允许每个公钥在系统中存在一个证书。如果您试图为与已导入的证书相同的密钥对导入证书，您可以:

• 替换现有的条目。
• 删除该条目。

上载新证书以替换旧证书后，无法删除旧证书。配置PKI实体设置时，两个证书都存在于SSL客户端证书菜单。新证书在列表中的位置低于旧证书。

更新证书

1. 按照中的步骤创建替换证书客户端证书或证书加域认证．

   重要的是:

   不要使用该选项创建具有现有私钥的证书。创建证书以更新过期证书时，私钥也必须是新的。

2. 在端点管理控制台中，单击控制台右上角的齿轮图标。使用搜索栏找到并打开证书背景
3. 在进口对话框中，导入新证书。

更新服务器证书时，使用以前证书的组件会自动切换到使用新证书。同样，如果已在设备上部署服务器证书，则该证书将在下次部署时自动更新。

要更新APNs证书，请执行创建证书的步骤，然后转到Apple Push Certificates Portal。有关更多信息，请参见更新APNs证书．

如果您的Citrix网关设置为SSL卸载，请确保使用新的cacert.pem更新您的负载均衡器。

更新PKI服务证书颁发机构

您可以请求Citrix Cloud Operations刷新或重新生成端点管理部署中的内部PKI证书颁发机构(CAs)。为这些请求打开一个技术支持案例。

当新的ca可用时，Cloud Operations会让您知道可以继续为您的用户更新设备证书。

更新设备证书

当设备上的证书过期时，该证书将失效。您不能再在环境上运行安全事务，也不能访问端点管理资源。证书颁发机构(CA)提示您在到期日期之前更新SSL证书。执行前面描述的步骤来更新证书，然后在已注册的设备上启动证书续订。

对于支持的iOS、macOS和Android设备，可以通过安全动作“证书更新”发起证书更新。您可以从端点管理控制台或公共REST API更新设备证书。对于已注册的Windows设备，用户必须重新注册设备才能接收新的设备证书颁发机构(CA)。

下次设备连接回端点管理时，端点管理服务器将根据新的CA颁发新的设备证书。

通过控制台更新设备证书

1. 去管理>设备并选择要续订设备证书的设备。

2. 点击安全然后点击证书更新．

   登记的设备继续工作，没有中断。终端管理在设备连接回服务器时颁发设备证书。

要查询特定设备证书颁发者CA组中的设备，请执行以下操作：

1. 在管理>设备,扩大过滤器窗格。

2. 在过滤器窗格中,展开设备证书颁发者CA，然后选择要续签的发行者ca。

   在设备列表中，会显示所选颁发ca的设备。

使用REST API更新设备证书

端点管理在内部为PKI使用以下证书颁发机构（CA）：根CA、设备CA和服务器CA。这些CA是逻辑组，具有组名。在端点管理配置期间，服务器生成三个CA，并为它们提供组名“default”。

CA通过颁发以下api来管理和更新设备证书。已经注册的设备继续工作，没有中断。终端管理在设备连接回服务器时颁发设备证书。有关更多信息，请下载REST服务的公共APIPDF。

• 返回仍然使用旧CA的设备列表(参见REST服务的公共API PDF中的3.16.2节)
• 更新设备证书（见第3.16.58节）
• 获取所有CA组（见第3.23.1节）

Citrix安全邮件APNs证书

Apple Push Notification Service (APNs)证书每年都会过期。请确保创建APNs SSL证书，并在证书到期之前在Citrix门户中更新它。如果证书过期，用户将面临与安全邮件推送通知不一致的问题。此外，你也不能再为你的应用发送推送通知了。

用于iOS设备管理的APNs证书

要使用端点管理注册和管理iOS设备，请从Apple设置并创建APNs证书。如果证书过期，则用户无法注册Endpoint Management，您也无法管理其iOS设备。有关详细信息，请参阅导引和证书．

通过登录Apple Push Certificates Portal，可以查看APNs证书的状态和到期日期。请确保以创建证书的相同用户登录。

你还会在截止日期前30天和10天收到来自苹果的电子邮件通知。通知内容包括:

为Apple ID CustomerID创建的以下Apple Push Notification Service证书将在Date过期。撤销或允许此证书过期将需要使用新的推送证书重新注册现有设备。请联系您的供应商生成一个新的请求(签名CSR)，然后访问https://identity.apple.com/pushcert更新您的苹果推送通知服务证书。谢谢你，苹果推送通知服务!——NeedCopy >

MDX Toolkit (iOS发行证书)

在物理iOS设备上运行的应用程序(苹果应用商店中的应用程序除外)有以下签名要求:

• 使用配置文件签署应用程序。
• 使用相应的发布证书签署应用程序。

要验证你有一个有效的iOS发行证书，请执行以下操作:

1. 在Apple Enterprise Developer门户中，为您计划用MDX包装的每个应用程序创建一个显式的App ID。一个可接受的应用ID的例子是:com.CompanyName.ProductName．
2. 从苹果企业开发人员门户，点击配置概要文件>分发并创建内部资源调配配置文件。对上一步中创建的每个应用程序ID重复此步骤。
3. 下载所有配置文件。有关详细信息,请参见包装iOS移动应用．

要确认所有端点管理服务器证书都是有效的，请执行以下操作:

1. 在端点管理控制台中，单击设置>证书．
2. 检查所有证书是否有效，包括APNs、SSL Listener、Root和Intermediate证书。

Android密钥存储库

keystore是一个包含用于对Android应用程序签名的证书的文件。当您的密钥有效期到期时，用户不再能够无缝升级到您的应用程序的新版本。

DigiCert为Windows phone提供的企业证书

DigiCert是Microsoft App Hub服务的代码签名证书的独家提供商。开发商和软件发行商加入App Hub，通过Windows Marketplace销售Windows Phone和Xbox 360应用程序。有关详细信息,请参见Windows Phone的DigiCert代码签名证书在DigiCert文档中。

如果证书过期，Windows phone用户无法注册。用户不能安装公司发布和签名的应用程序，也不能启动已安装的公司应用程序。

Citrix网关

有关如何处理Citrix网关证书过期的详细信息，请参阅如何处理NetScaler证书过期在Citrix支持知识中心。

过期的Citrix网关证书将阻止用户注册和访问Store。过期的证书还会阻止用户在使用安全邮件时连接到Exchange Server。此外，用户无法枚举和打开HDX应用程序(取决于哪个证书过期)。

到期监控和命令中心可以帮助您跟踪您的Citrix网关证书。证书到期时，中心会通知您。这些工具有助于监控以下Citrix Gateway证书:

• MDM FQDN SSL证书
• 网关FQDN SSL证书
• 共享文件SZC FQDN的SSL证书
• Exchange负载均衡SSL证书(卸载配置)
• StoreFront负载均衡SSL证书
• 根CA证书和中间CA证书