Organisationszertifikate
Einleitung
Um mit dem Apple APNS-Dienst zu arbeiten, der für Push-Benachrichtigungen und die Übermittlung von Profilen an eingeschriebene Apple-Geräte verantwortlich ist, benötigt Relution ein signiertes MDM-Push-Zertifikat.
Relution liefert im Standard funktionierende Zertifikate aus. Diese Zertifikate werden, sofern es sich um die Standardzertifikate handelt, automatisch mit dem Update von Relution aktualisiert.
Sind die Zertifikate abgelaufen, können Sie die Apple-Geräte nicht mehr verwalten, bis sie erneuert werden.
Eigenes MDM-Push-Zertifikat erstellen
Um dieses Zertifikat vom Apple Push Certificates
-Portal zu erhalten, müssen Sie die im folgenden Abschnitt beschriebenen Schritte ausführen.
Sie benötigen einen privaten RSA-Schlüssel, der zur Erstellung einer CSR (Certificate Signing Request) und später zum Signieren der von Ihnen gesendeten MDM-Nachrichten verwendet wird. Sie sollten diesen privaten Schlüssel nur für diesen Zweck verwenden und sicherstellen, dass er und die zugehörige Passphrase an einem sicheren Ort gespeichert sind.
Wenn Sie noch keinen Schlüssel haben, den Sie verwenden möchten, können Sie mit dem folgenden Befehl über OpenSSL in Ihrer Konsole einen neuen Schlüssel erzeugen:
$ openssl genrsa -des3 -out customerPrivateKey.pem 2048
Dabei ist customerPrivateKey.pem
der private Schlüssel, den Sie verwenden möchten. Während des Vorgangs werden Sie nach der Passphrase gefragt.
Nun müssen Sie die CSR über unseren Helpdesk an Relution senden. Relution wird dann die CSR signieren, damit Relution MDM-Pushes senden kann.
Sie erhalten eine .plist_encoded
oder .relution
-Datei, die in das Apple Push Certificates-Portal → hochgeladen werden muss (Sie benötigen hierzu eine Apple ID). Nachdem Sie die Datei in das Portal hochgeladen haben, können Sie das erstellte MDM-Push-Zertifikat herunterladen.
Mit dem Zertifikat, Ihrem privaten Schlüssel, der zur Erstellung der CSR verwendet wurde, und der Passphrase können Sie die .p12
-Datei erstellen, die Relution benötigt. Sie können den folgenden openSSL-Befehl verwenden, um die benötigte .p12
-Datei zu erstellen.
$ openssl pkcs12 -export -out newKeystore.p12
-inkey myPrivateKey.pem -in myCertFromApple.pem
Im Anschluss können Sie das Zertifikat in Relution unter Einstellungen > Organisationszertifikate
hochladen.
Eigenes MDM-Push-Zertifikat aktualisieren
Wie bereits erwähnt, müssen MDM-Push-Zertifikate regelmäßig erneuert werden, da sie nur für 365 Tage gültig sind. Wenn Sie das Zertifikat nicht erneuern, bevor es abläuft, oder es widerrufen, müssen Sie ein neues Zertifikat erstellen.
Um Ihr MDM-Push-Zertifikat zu erneuern, müssen Sie in etwa die gleichen Schritte befolgen wie bei der Erstellung eines neuen Zertifikats.
Um eine CSR (Certificate Signing Request) auf der Grundlage Ihres privaten Schlüssels zu erstellen, verwenden Sie OpenSSL. Sie können die CSR mit dem folgenden Befehl erstellen:
$ openssl req -new -key customerPrivateKey.pem -out customer.csr
Dabei ist customerPrivateKey.pem
der private Schlüssel, den Sie verwenden möchten. Während des Vorgangs werden Sie nach der Passphrase gefragt.
Nun müssen Sie die CSR über unseren Helpdesk an Relution senden. Relution wird dann die CSR signieren, damit Relution MDM-Pushes senden kann.
Sie erhalten eine .plist_encoded
oder .relution
-Datei, die in das Apple Push Certificates-Portal → hochgeladen werden muss, indem Sie die Option Renew the old certificate wählen. Es wird empfohlen, das alte Zertifikat vorher herunterzuladen und zu sichern.
Nachdem Sie die Datei in das Portal hochgeladen haben, können Sie das erneuerte MDM-Push-Zertifikat herunterladen.
Mit dem Zertifikat, Ihrem privaten Schlüssel, der zur Erstellung der CSR verwendet wurde, und der Passphrase können Sie die .p12
-Datei erstellen, die Relution benötigt. Sie können den folgenden openSSL-Befehl verwenden, um die benötigte .p12
-Datei zu erstellen.
$ openssl pkcs12 -export -out newKeystore.p12
-inkey myPrivateKey.pem -in myCertFromApple.pem
Im Anschluss kann das Zertifikat in Relution unter Einstellungen > Organisationszertifikate
hochladen werden.