APNs证书

重要：

苹果对APNs旧版二进制文件协议的支持将于2021年3月31日结束。Apple建议您改为使用基于HTTP/2的APNs提供程序API。自版本10.13.0起，XenMobile Server支持基于HTTP/2的API。有关更多信息，请参阅https://developer.apple.com/中的新闻更新“苹果推送通知服务更新”。有关检查与apn的连接的帮助，请参阅连接检查。

要在XenMobile中注册并管理iOS和macOS设备,应设置苹果提供的苹果推送通知服务(apn)证书。

工作流程摘要：

• 步骤 1：通过以下任一方法创建证书签名请求(CSR):

  • 在macOS上使用钥匙串访问创建CSR(Citrix推荐使用)
  • 使用微软IIS创建CSR
  • 使用OpenSSL创建CSR

• 步骤 2：在XenMobile Tools中为CSR签名

• 步骤 3：将已签名的CSR提交到Apple以获取APNs证书

• 步骤 4：使用用于步骤 1 的同一台计算机，完成CSR并导出PKCS #12文件：

  • 在macOS上使用钥匙串访问创建PKCS #12文件
  • 使用微软IIS创建PKCS #12文件
  • 使用OpenSSL创建PKCS #12文件

• 步骤 5：将APNs证书导入XenMobile

• 步骤 6：续订APNs证书

创建证书签名请求

我们建议您在macOS上使用钥匙串访问来创建CSR。还可以通过Microsoft IIS或OpenSSL创建CSR。

重要：

• 对于用于创建证书的苹果ID:
  • Apple ID必须是公司ID，而不是个人ID。
  • 记录用于创建证书的Apple ID。
  • 要更新证书，请使用相同的组织名称和Apple ID。使用不同的Apple ID更新证书需要重新注册设备。

• 如果您无意或有意吊销了该证书，则无法管理自己的设备。

• 如果使用iOS开发企业项目创建移动设备管理器推送证书:请务必在苹果推证书门户中处理面向迁移的证书的任何操作。

在macOS上使用钥匙串访问创建CSR

1. 在运行macOS的计算机上，在应用程序 > 实用工具下方，启动钥匙串访问应用程序。
2. 打开钥匙串访问菜单，然后单击证书助理 > 从证书颁发机构请求证书。
3. “证书助理”将提示您输入以下信息:
   • 电子邮件地址：负责管理证书的个人或角色帐户的电子邮件地址。
   • 公用名：负责管理证书的个人或角色帐户的公用名。
   • Ca电子邮件地址:证书颁发机构的电子邮件地址。
4. 选择存储到磁盘和让我指定密钥对信息选项，然后单击继续。
5. 输入CSR文件的名称，在您的计算机上保存此文件，然后单击保存。
6. 指定密钥对信息：选择密钥大小2048 位以及Rsa算法，然后单击继续。作为APNs证书流程的一部分，CSR文件已可供上载。
7. 证书助理完成CSR流程后，单击完成。
8. 要继续，请为CSR签名。

使用微软IIS创建CSR

生成APNs证书请求的第一步是创建证书签名请求(CSR)。对于Windows，请通过使用 Microsoft IIS 生成 CSR。

1. 打开微软IIS。
2. 双击iis的服务器证书图标。
3. 在服务器证书窗口中，单击创建证书申请。
4. 键入相应的标识名(dn)信息，然后单击下一步。
5. 为加密服务提供程序选择微软RSA通道加密提供程序，并为位长度选择2048，然后单击下一步。
6. 输入文件名并指定CSR的保存位置，然后单击完成。
7. 要继续，请为CSR签名。

使用OpenSSL创建CSR

如果无法使用macOS设备或Microsoft IIS生成CSR,请使用OpenSSL。可以从OpenSSL Web站点下载并安装OpenSSL。

1. 在安装了OpenSSL的计算机上，从命令提示窗口或Shell执行以下命令。

   openssl req -new -keyout Customer.key.pem . out公司apns证书。CSR -newkey rsa:2048

2. 此时将显示以下要求证书命名信息的消息。根据请求输入信息。

   您将被要求输入将被合并到证书请求中的信息。您将要输入的是所谓的惟一名称或DN。有相当多的字段，但你可以留下一些空白，对于一些字段将有一个默认值，如果你输入'。，该字段将为空。-----国家名称(2个字母代码)[AU]:美国州或省名称(全名)[Some-State]:CA地区名称(例如，城市)[]:RWC组织名称(例如，公司)[Internet Widgits Pty Ltd]:客户组织单位名称(例如，section)[:营销通用名称(例如，您的名字)[]:John Doe电子邮件地址[]:john.doe@customer.com 

3. 在下一条消息中，输入CSR私钥的密码。

   请输入与证书请求一起发送的以下“额外”属性。挑战密码[]:可选的公司名称[]:

4. 要继续，请按照下一节中的说明为CSR签名。

为CSR签名

要将证书与XenMobile一起使用，请将其提交给Citrix进行签名。思杰使用其移动设备管理签名证书给CSR签名并返回.plist格式的已签名文件。

1. 在浏览器中，转至端点管理工具网站站点，然后单击请求推送通知证书签名（申请推送通知证书签名）。

   

2. 在创建新证书页面上，单击上载CSR。

   

3. 浏览并选择证书。

   证书必须采用.pem/txt格式. txt。

4. 在端点管理APNs CSR签名(端点管理APNs CSR签名)页面上，单击标志（签名）。将为CSR签名并将签名后的CSR自动保存到已配置的下载文件夹。

5. 要继续，请按照下一节中的说明提交签名的csr。

将签名后的CSR提交给Apple以获取APNs证书

从Citrix收到已签名的证书签名请求(CSR)后,将CSR提交给苹果,以获取导入到XenMobile所需的前置证书。

注意：

有些用户报告登录苹果推送门户时遇到问题。或者，登录苹果开发人员门户，然后按照以下步骤进行操作。

1. 在浏览器中，转到Apple推送证书门户。

2. 单击制作证书（创建证书）。

3. 首次使用苹果创建证书:选中我已阅读并同意这些条款和条件（我已阅读并同意这些条款和条件）复选框，然后单击接受（接受）。

4. 单击选择文件(选择文件)，浏览到计算机上已签名的csr，然后单击上传（上载）。此时将显示一条确认消息，指示上载成功。

5. 单击下载(下载)以检索.pem证书。

6. 要继续，请完成CSR并导出PKCS #12文件，如下一节中所述。

完成CSR并导出PKCS #12文件

收到苹果提供的前置证书后,返回到钥匙串访问,Microsoft IIS或OpenSSL以将证书导出到PCKS # 12文件中。

PCKS #12文件包含APNs证书文件和您的私钥。PFX文件的扩展名通常为. PFX或.p12。可以互换使用.pfx和.p12文件。

重要：

思杰建议您保存或导出本地系统中的个人密钥和公钥。您需要密钥来访问APNs证书以便重复使用。如果没有相同的密钥，您的证书无效，您必须重复执行整个CSR和APNs过程。

在macOS上使用钥匙串访问创建PKCS #12文件

重要：

在此任务中使用的macOS设备应与生成CSR时使用的macOS设备相同。

1. 在设备上，找到从苹果收到的生产标识(.pem)证书。

2. 启动钥匙串访问应用程序并导航到登录 > 我的证书选项卡。将产品标识证书拖放到打开的窗口中。

3. 单击证书并展开左箭头以验证证书是否包含关联的私钥。

4. 要开始将证书导出到PCKS # 12 (.pfx)证书中,请选择证书和私钥,单击鼠标右键,然后选择导出 2 个项目。

5. 为证书文件提供唯一的名称以用于XenMobile。请勿在名称中包含空格字符。然后，为保存的证书选择一个文件夹位置，选择.pfx文件格式，然后单击保存。

6. 输入用于导出证书的密码。Citrix 建议使用具有唯一性的强密码。还要确保证书和密码的安全性，以供以后使用和引用。

7. 钥匙串访问应用程序将提示您输入登录密码或选定的钥匙串。键入密码，然后单击确定。保存的证书现在即可用于XenMobile Server。

8. 要继续操作，请参阅将APNs证书导入到XenMobile。

使用微软IIS创建PKCS #12文件

重要：

在此任务中使用的iis服务器应与生成CSR时使用的iis服务器相同。

1. 打开微软IIS。

2. 单击服务器证书图标。

3. 在服务器证书窗口中，单击完成证书申请。

4. 浏览至来自苹果的证书。Pem文件。然后，键入友好名称或证书名称，并单击确定。请勿在名称中包含空格字符。

5. 选择在步骤 4 中找到的证书，然后单击导出。

6. 指定.pfx证书的位置和文件名以及密码，然后单击确定。

   您需要证书的密码才能将其导入XenMobile。

7. 将.pfx证书复制到计划安装XenMobile的服务器上。

8. 要继续操作，请参阅将APNs证书导入到XenMobile。

使用OpenSSL创建PKCS #12文件

如果您使用OpenSSL创建企业社会责任,还可以使用OpenSSL创建.pfx apn证书。

1. 在命令提示符或shell下，执行以下命令。Customer.privatekey.pem为来自CSR的私钥。APNs_Certificate.pem为您刚从苹果收到的证书。

   openssl pkcs12 -export -in APNs_Certificate。pem -inkey Customer.privatekey.pem -out apns_identity.pfx .pem

2. 输入.pfx证书文件的密码。记住此密码，因为在将证书上载到XenMobile时要再次使用该密码。

3. 记下.pfx证书文件的位置。然后，将该文件复制到XenMobile Server中，以便可以使用控制台上载文件。

4. 要继续，请将APNs证书导入XenMobile，如下一节中所述。

将APNs证书导入到XenMobile

在收到新apn证书后:将前置证书导入XenMobile,以便首次添加该证书或者替换证书。

1. 在XenMobile控制台中，转至设置 > 证书。

2. 单击导入 > 密钥库。

3. 在用作中，选择比例导引。

4. 浏览到计算机上的.pfx或.p12文件。

5. 输入密码，然后单击导入。

有关XenMobile中的证书的详细信息，请参阅证书和身份验证。

续订APNs证书

重要：

如果您在续订过程中使用其他Apple ID，则必须重新注册用户设备。

要续订APNs证书，请执行创建证书的步骤，然后转到Apple推送证书门户。使用该门户上载新证书。登录后，将显示您的现有证书或者从您之前的苹果开发人员帐户导入的证书。

在证书门户网站中，续订证书的唯一区别是要单击更新（续订）。您必须在证书门户网站上拥有开发人员帐户才能访问该站点。要续订证书，请使用相同的组织名称和苹果ID。

要确定APNs证书的过期时间，请在XenMobile控制台中转至设置 > 证书。如果证书过期，请不要吊销。

1. 使用Microsoft IIS，钥匙串访问(macOS)或OpenSSL生成CSR。有关生成CSR的详细信息，请参阅创建证书签名请求。

2. 在浏览器中，转到端点管理工具。然后，单击请求推送通知证书签名（申请推送通知证书签名）。

3. 单击+上传CSR(+上载csr)。

4. 在对话框中，导航到csr，单击开放（打开），然后单击标志（签名）。

5. 收到.plist文件时，将其保存。

6. 在步骤 3 标题中，单击Apple推送证书门户并登录。

7. 选择要续订的证书，然后单击更新（续订）。

8. 上载.plist文件。您将收到输出文件.pem。保存.pem文件。

9. 使用该.pem文件完成CSR(根据您在步骤1中创建CSR时使用的方法)。

10. 将证书导出为.pfx文件。

在XenMobile控制台中，导入.pfx文件并按如下所示完成配置:

1. 转到设置 > 证书 > 导入。
2. 在导入菜单中，选择密钥库。
3. 在密钥库类型菜单中，选择PKCS # 12。

4. 在用作中，选择比例导引。

   

5. 对于密钥库文件，单击浏览并导航到该文件。
6. 在密码中，键入证书密码。
7. 键入可选说明。
8. 单击导入。

XenMobile将您重定向回证书页面。名称、状态、有效期开始时间和有效期结束时间字段将更新。