APNs証明書

重要：

APNsの従来のバイナリプロトコルに対するAppleのサポートは、2021年3月31日で終了します。代わりにHTTP/2ベースのAPNプロバイダーAPIの使用をお勧めします。リリース10.13.0以降、XenMobile Serverは HTTP/2ベースのAPIをサポートしています。詳しくは、https://developer.apple.com/のニュースとアップデートで「Apple Push Notification Serviceのアップデート」を参照してください。APNsへの接続を確認する方法については、「接続確認」を参照してください。

XenMobileでiOSおよびmacOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス（APNs）証明書を設定します。

ワークフローの概要：

• 手順1：次のいずれかの方法で証明書署名要求（CSR）を作成：

  • macOSでキーチェーンアクセスを使用するCSRの作成（Citrix推奨）
  • Microsoft IISを使用するCSRの作成
  • OpenSSLを使用するCSRの作成

• 手順2：XenMobile ToolsでCSRに署名

• 手順3：署名済みCSRをAppleに送信しAPNs証明書を取得

• 手順4：手順1で使用したのと同じコンピューターを使用して、CSRを完了し、PKCS #12ファイルをエクスポート：

  • macOSでキーチェーンアクセスを使用するPKCS #12ファイルの作成
  • Microsoft IISを使用するpkcs# 12ファイルの作成
  • OpenSSLを使用するPKCS #12ファイルの作成

• 手順5：APNs証明書をXenMobileにインポート

• 手順6：APNs証明書の更新

証明書署名要求の作成

macOSでキーチェーンアクセスを使用してCSRを作成することをお勧めします。Microsoft IISまたはOpenSSLを使用してCSRを作成することもできます。

重要：

• 証明書の作成に使用されたApple IDについて：
  • The Apple ID must be a corporate ID and not a personal ID.
  • Record the Apple ID that you use to create the certificate.
  • To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device reenrollment.

• 証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。

• iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合：Apple Push Certificates Portalに移行した証明書に必要なアクションを実行してください。

macOSでキーチェーンアクセスを使用するCSRの作成

1. macOSを実行するコンピューターの［アプリケーション］>［ユーティリティ］で、キーチェーンアクセスアプリを起動します。
2. [キーチェーンアクセス]メニューで、［証明書アシスタント］>［認証局に証明書を要求］の順に選択します。
3. 証明書アシスタントにより、次の情報の入力を求められます：
   • メールアドレス：証明書の管理を担当する個人または役割アカウントのメールアドレス。
   • 共通名：証明書の管理を担当する個人または役割アカウントの通称。
   • CAのメールアドレス：認証局のメールアドレス。
4. ［ディスクに保存］をクリックし、［鍵ペア情報を指定］チェックボックスをオンにして、［続ける］をクリックします。
5. CSRファイルの名前を入力してコンピューターにファイルを保存し、［保存］を選択します。
6. 鍵ペア情報を指定：［鍵のサイズ］で［2048ビット］を選択し、アルゴリズムに［RSA］を選択してから［続ける］をクリックします。APNs証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
7. 証明書アシスタンスによるCSRプロセスが完了してから［完了］をクリックします。
8. 続行するには、CSRに署名します。

Microsoft IISを使用するCSRの作成

APNs証明書要求を生成するには、まずCSR（証明書署名要求）を作成します。Windowsの場合は、Microsoft IISを使用してCSRを生成します。

1. Microsoft IISを開きます。
2. IISのサーバー証明書アイコンをクリックします。
3. ［サーバー証明書］ウィンドウで、［証明書の要求の作成］をクリックします。
4. 適切な識別名（Distinguished Name：DN）を入力して［次へ］をクリックします。
5. ［暗号化サービスプロバイダー］で［Microsoft RSA SChannel Cryptographic Provider］を選択して、ビット長として［2048］を選択し、［次へ］をクリックします。
6. ファイル名を入力してCSRを保存する場所を指定し、［完了］をクリックします。
7. 続行するには、CSRに署名します。

OpenSSLを使用するCSRの作成

macOSデバイスまたはMicrosoft IISを使用してCSRを生成できない場合は、OpenSSLを使用します。OpenSSLは、OpenSSLのWebサイトからダウンロードしてインストールできます。

1. OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。

   openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

2. 証明書の名前に関する次のメッセージが表示されます。要求された情報を入力します。

   You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com 

3. 次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。

   Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: 

4. 続行するには,次のセクションの説明に従って、CSRに署名します。

CSRへの署名

XenMobileで証明書を使用するには、署名のために証明書をCitrixに送信します。Citrixはモバイルデバイス管理の署名証明書を使用して署名し、.plist形式の署名ファイルを返送します。

1. 使用しているブラウザーでEndpoint ManagementツールWebサイトに移動し、［Request push notificationcertificate signature］を選択します。

   

2. 新しい証明書の作成ページで、［Upload the CSR］を選択します。

   

3. 証明書に移動して選択します。

   証明書は「.pem/txt」形式である必要があります。

4. Endpoint Management APNs CSR署名ページで、［署名］をクリックします。CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。

5. 続行するには,次のセクションの説明に従って、署名入りCSRを送信します。

署名入りCSRのAppleへの送信とAPNs証明書の取得

署名入りCSR（Certificate Signing Request：証明書署名要求）をCitrixから受け取ったら、そのCSRをAppleに送信して、XenMobileへのインポートに必要なAPNs証明書を取得します。

注：

一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。この場合、Apple Developer Portalにログオンしてから、次の手順に従います。

1. ブラウザーでApple Push Certificates Portalに移動します。

2. ［証明書識別情報を作成］をクリックします。

3. Appleで初めて証明書を作成する場合：［利用規約を読みました。内容に同意します。］チェックボックスをオンにして、［同意します］をクリックします。

4. ［ファイルの選択］をクリックし、コンピューター上の署名入りCSRを指定して［アップロード］をクリックします。アップロードが成功したことを示す確認メッセージが表示されます。

5. ［ダウンロード］をクリックして、.pem証明書を取得します。

6. 続行するには、CSRを完了し、次のセクションの説明に従って、PKCS #12ファイルをエクスポートします。

CSRの完了とPKCS #12ファイルのエクスポート

AppleからAPNs証明書を受け取ったら、キーチェーンアクセス、Microsoft IIS、またはOpenSSLに戻り、証明書をPCKS #12ファイルにエクスポートします。

PKCS #12ファイルには、APNs証明書ファイルと秘密キーが含まれています。通常、PFXファイルの拡張子は.pfxまたは.p12です。.pfxファイルと.p12ファイルは、交換して使用できます。

重要：

Citrixは、個人キーと公開キーを保存するか、ローカルシステムからエクスポートすることをお勧めします。これらのキーは、再利用するためにAPNs証明書にアクセスするときに必要です。同じキーがないと、証明書は無効になり、CSRとAPNsのプロセス全体を繰り返す必要があります。

macOSでキーチェーンアクセスを使用するPKCS #12ファイルの作成

重要：

このタスクには、CSRを生成するために使用したのと同じmacOSデバイスを使用します。

1. このデバイスで、Appleから受け取ったProduction identity（.pem）証明書を検索します。

2. キーチェーンアクセスアプリケーションを起動し、［ログイン］>［自分の証明書］タブに移動します。Product identity証明書をドラッグして、開いているウィンドウにドロップします。

3. 証明書をクリックし、左矢印を展開して、証明書に関連する秘密キーが含まれていることを確認します。

4. PCKS # 12 (.pfx)証明書への証明書のエクスポートを開始するには,証明書と秘密キーを選択して右クリックし、［2項目を書き出す］を選択します。

5. XenMobileで使用するには、証明書ファイルに一意の名前を付けるようにします。名前に空白や特殊文字は含めないでください。次に、保存する証明書のフォルダーの場所を選び、.pfxファイル形式を選択して［保存］をクリックします。

6. パスワードを入力して証明書をエクスポートします。Citrixでは一意で強力なパスワードを使用することをお勧めします。また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。

7. キーチェーンアクセスアプリによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。パスワードを入力し、［OK］をクリックします。XenMobileサーバーで保存された証明書を使用する準備ができました。

8. 続行するには、「APNs証明書をXenMobileにインポートする」を参照してください。

Microsoft IISを使用するpkcs# 12ファイルの作成

重要：

このタスクには、CSRを生成するために使用したのと同じIISサーバーを使用します。

1. Microsoft IISを開きます。

2. サーバー証明書アイコンをクリックします。

3. ［サーバー証明書］ウィンドウで、［証明書の要求の完了］をクリックします。

4. AppleのCertificate.pemファイルを指定します。フレンドリ名または証明書名を入力して［OK］をクリックします。名前に空白や特殊文字は含めないでください。

5. 手順4で指定した証明書を選択して［エクスポート］をクリックします。

6. .pfx証明書の場所とファイル名およびパスワードを指定して［OK］をクリックします。

   XenMobileにインポートするには、証明書のパスワードが必要です。

7. .pfx証明書をXenMobileをインストールするサーバーにコピーします。

8. 続行するには、「APNs証明書をXenMobileにインポートする」を参照してください。

OpenSSLを使用するPKCS #12ファイルの作成

OpenSSLを使用してCSRを作成する場合、OpenSSLを使用して.pfx APNs証明書を作成することもできます。

1. コマンドプロンプトまたはシェルで、次のコマンドを実行します。Customer.privatekey.pemはCSRからの秘密キー、APNs_Certificate.pemはAppleから受け取った証明書です。

   openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

2. .pfx証明書ファイルのパスワードを入力します。このパスワードは、証明書をXenMobileにアップロードするときに再び使用するので覚えておいてください。

3. .pfx証明書ファイルの場所を確認します。次に、XenMobileコンソールからアップロードできるように、このファイルをXenMobileサーバーにコピーします。

4. 続行するには,次のセクションの説明に従って、APNs証明書をXenMobileにインポートします。

APNs証明書をXenMobileにインポートする

新しいAPNs証明書を受け取った後：そのAPN証明書をXenMobileにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。

1. XenMobileコンソールで、［設定］>［証明書］の順にクリックします。

2. ［インポート］>［キーストア］の順にクリックします。

3. ［使用目的］から、［APNs］を選択します。

4. コンピューターの.pfxファイルまたは.p12ファイルを指定します。

5. パスワードを入力して、［インポート］をクリックします。

XenMobileの証明書について詳しくは、「証明書と認証」を参照してください。

APNs証明書の更新

重要：

更新処理に別のApple IDを使用する場合、ユーザーのデバイスを再登録する必要があります。

APNs証明書を更新するには、証明書を作成する手順を実行してから、Apple Push Certificates Portalにアクセスします。このポータルを使用して、新しい証明書をアップロードします。ログオンすると、既存の証明書（または、前のApple Developersアカウントからインポートされた証明書）が表示されます。

証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで［更新］をクリックします。Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。証明書を更新するには、同じ組織名とApple IDを使用します。

APNs証明書の有効期限を調べるには、XenMobileコンソールで［設定］>［証明書］の順にクリックします。証明書の有効期限が切れた場合、その証明書を取り消さないでください。

1. Microsoft IIS、キーチェーンアクセス（macOS）、またはOpenSSLを使用してCSRを生成します。CSRの生成について詳しくは、「証明書署名要求の作成」を参照してください。

2. ブラウザーで、Endpoint Managementツールに移動します。次に、［プッシュ通知証明書の署名要求］を選択します。

3. ［+ Upload the CSR］をクリックします。

4. ダイアログボックスでCSRに移動し、［開く］、［署名］の順にクリックします。

5. .plistファイルを受信したら保存します。

6. 手順3のページで、Apple Push Certificates Portalをクリックしてサインオンします。

7. 更新する証明書を選択して［更新］をクリックします。

8. .plistファイルをアップロードします。出力として.pemファイルを受信します。.pemファイルを保存します。

9. この.pemファイルを使用し、（手順1でCSRを作成するために使用した方法に従って）CSRを完了します。

10. 証明書を.pfxファイルとしてエクスポートします。

XenMobileコンソールで.pfxファイルをインポートし、以下の手順を実行して構成を完了します：

1. ［設定］>［証明書］>［インポート］の順に選択します。
2. ［インポート］メニューから、［キーストア］を選択します。
3. ［キーストアの種類］メニューから、［PKCS＃12］を選択します。

4. ［使用目的］から、［APNs］を選択します。

   

5. ［キーストアファイル］では、［ブラウザー］をクリックしてファイルに移動します。
6. ［パスワード］ボックスに、証明書のパスワードを入力します。
7. 必要に応じて［説明］に入力します。
8. ［インポート］をクリックします。

XenMobileで［証明書］ページにリダイレクトされます。［名前］、［状態］、［有効期限開始］、および［有効期限終了］フィールドが更新されます。