What is an Apple Push Notification service (APNs) certificate?

Průvodce stažením APNs certifikátu pro iPhone

20/11/2023

Rating: 4.99 (13949 votes)

V dnešní době, kdy jsou mobilní zařízení nedílnou součástí firemního prostředí, se správa iPhonů a iPadů stává klíčovou výzvou pro IT oddělení. Pro efektivní a bezpečnou správu těchto zařízení je nezbytný jeden prvek – APNs certifikát. Tento certifikát, zkratka pro Apple Push Notification service, je mostem mezi vaším systémem pro správu mobilních zařízení (MDM) a zařízeními Apple, umožňující push notifikace a vzdálené příkazy. Bez něj je správa iOS zařízení prakticky nemožná. Ať už jste správce IT, který se snaží implementovat novou MDM strategii, nebo jen hledáte způsob, jak obnovit stávající certifikát v Microsoft Azure, tento článek vám poskytne podrobný návod a objasní všechny související otázky.

How do I download an APNs certificate?
Download the APNs certificate created by the Apple Push Certificate Portal to your computer. [!TIP] If you're having trouble downloading the certificate, refresh your browser. Go back to Microsoft Azure and browse to the APNs certificate that you downloaded from the Apple Push Certificates Portal. Select Upload.
Obsahový index

Co je APNs certifikát a proč je klíčový pro správu iOS zařízení?

APNs certifikát je digitální certifikát, který umožňuje vašemu MDM řešení bezpečně komunikovat se službou Apple Push Notification service. Tato služba je zodpovědná za doručování push notifikací na zařízení Apple, což v kontextu MDM znamená doručování příkazů a konfigurací. Představte si, že chcete na dálku uzamknout ztracený iPhone, smazat firemní data nebo nainstalovat novou aplikaci. Všechny tyto akce jsou provedeny prostřednictvím push notifikací, které jsou odesílány přes APNs. Bez platného APNs certifikátu vaše MDM platforma nemůže tyto příkazy odesílat, a tudíž nemůže efektivně spravovat iOS zařízení.

Klíčové aspekty APNs certifikátu:

  • Bezpečnost: Zajišťuje šifrovanou a ověřenou komunikaci mezi vaším MDM serverem a Apple APNs.
  • Funkčnost MDM: Umožňuje vzdálené příkazy (např. uzamčení, vymazání), doručování konfigurací, instalaci aplikací a aktualizací.
  • Unikátnost: Každý APNs certifikát je vázán na konkrétní Apple ID a je určen pro jedno MDM řešení.
  • Platnost: Certifikát má platnost jeden rok a musí být každoročně obnovován, aby se zajistila nepřetržitá správa zařízení.

Obecný proces získání a správy APNs certifikátu

Než se ponoříme do specifik Microsoft Azure, je dobré pochopit obecný proces, jakým se APNs certifikát získává a spravuje. Ačkoliv se detaily mohou lišit v závislosti na konkrétním MDM řešení, základní kroky jsou podobné:

  1. Vytvoření požadavku na podepsání certifikátu (CSR): Váš MDM systém (nebo nástroj, který používáte) vygeneruje soubor CSR (Certificate Signing Request). Tento soubor obsahuje informace o vaší organizaci a veřejný klíč.
  2. Odeslání CSR společnosti Apple: Soubor CSR je nahrán na portál Apple Push Certificates Portal (https://identity.apple.com/pushcert/). K tomu budete potřebovat platné Apple ID. Je kriticky důležité použít konzistentní Apple ID pro všechny operace s APNs certifikátem, zejména pro jeho obnovení.
  3. Generování APNs certifikátu společností Apple: Apple podepíše váš CSR a vrátí vám nový APNs certifikát (obvykle ve formátu .pem nebo .cer).
  4. Nahrání APNs certifikátu do MDM systému: Stažený APNs certifikát nahrajete zpět do vašeho MDM řešení. Tím se naváže důvěryhodná komunikace mezi MDM, Apple APNs a vašimi iOS zařízeními.
  5. Pravidelné obnovení: Jak bylo zmíněno, APNs certifikát má platnost jeden rok. Je nezbytné jej obnovit PŘED jeho vypršením, a to vždy se stejným Apple ID, které bylo použito pro jeho vytvoření. Pokud certifikát vyprší nebo je obnoven s jiným Apple ID, je nutné zařízení znovu zaregistrovat, což je časově náročný proces.

Specifika APNs certifikátů v prostředí Microsoft Azure (Microsoft Intune)

Pro organizace, které využívají Microsoft Intune (nyní součást Microsoft Endpoint Manageru) pro správu mobilních zařízení, je proces získání a správy APNs certifikátu integrován přímo do Azure portálu. Intune funguje jako vaše MDM řešení a pro komunikaci s Apple zařízeními potřebuje platný APNs certifikát. Proces je zjednodušený, ale stále vyžaduje interakci s portálem Apple Push Certificates Portal.

Hlavní rozdíly a body k zamyšlení pro Azure/Intune:

  • Integrovaný průvodce: Azure Portal (Microsoft Endpoint Manager admin center) obsahuje průvodce, který vás provede generováním CSR, přesměrováním na Apple portál a nahráním výsledného certifikátu.
  • Důležitost správného Apple ID: Stejně jako u obecného procesu je klíčové použít konzistentní Apple ID. Mnoho problémů s obnovou certifikátu pramení z použití jiného Apple ID, než se kterým byl certifikát původně vytvořen. Doporučuje se použít dedikované firemní Apple ID, které není vázáno na konkrétního zaměstnance.
  • Role a oprávnění: Pro provádění těchto operací v Azure Portal potřebujete odpovídající oprávnění, obvykle roli globálního administrátora nebo roli správce Intune. Nedostatečná oprávnění jsou častou příčinou chyb, jako je „Access to this page requires authorization.“

Podrobný průvodce stažením a obnovením APNs certifikátu z Microsoft Azure

Následující kroky vás provedou procesem stažení (a potažmo obnovení) APNs certifikátu v prostředí Microsoft Azure. Předpokládáme, že již máte existující certifikát, který chcete obnovit, nebo že jej potřebujete stáhnout pro kontrolu.

Krok 1: Přístup k Microsoft Endpoint Manager admin center

Otevřete webový prohlížeč a přejděte na https://endpoint.microsoft.com/. Přihlaste se pomocí účtu s dostatečnými oprávněními (např. Global Administrator nebo Intune Service Administrator).

Krok 2: Navigace k nastavení APNs certifikátu

Po přihlášení do Microsoft Endpoint Manager admin center (Azure Portal):

  1. V levém navigačním panelu klikněte na Tenant administration (Správa tenanta).
  2. Rozbalte sekci Connectors and tokens (Konektory a tokeny).
  3. Klikněte na Apple MDM Push Certificate (Certifikát Apple MDM Push).

Zde uvidíte stav vašeho stávajícího APNs certifikátu, včetně data vypršení platnosti a Apple ID, se kterým byl vytvořen. Je zde také možnost stáhnout CSR soubor nebo přímo obnovit certifikát.

Krok 3: Stažení CSR souboru (pokud obnovujete)

Pokud obnovujete certifikát, na této stránce uvidíte tlačítko pro stažení nového CSR (Certificate Signing Request) souboru. Klikněte na něj a uložte soubor .csr na bezpečné místo na vašem počítači.

Krok 4: Přechod na Apple Push Certificates Portal

Po stažení CSR souboru (nebo pokud pouze kontrolujete existující certifikát a potřebujete se dostat na Apple portál), klikněte na odkaz, který vás přesměruje na Apple Push Certificates Portal (https://identity.apple.com/pushcert/). Zde se přihlaste s PŘESNĚ TÍM STEJNÝM APPLE ID, které bylo použito pro generování původního certifikátu. Toto je klíčový bod, který často způsobuje problémy.

Krok 5: Obnovení certifikátu na portálu Apple

Na portálu Apple Push Certificates Portal:

  1. Najděte certifikát, který chcete obnovit. Měl by být označen názvem vašeho MDM řešení (např. Microsoft Intune) a datem vypršení platnosti.
  2. Klikněte na tlačítko Renew (Obnovit) u příslušného certifikátu.
  3. Nahrajte CSR soubor, který jste stáhli v kroku 3 z Azure Portal.
  4. Apple vygeneruje nový APNs certifikát. Klikněte na Download (Stáhnout) a uložte soubor .pem nebo .cer na bezpečné místo.

Krok 6: Nahrání nového APNs certifikátu zpět do Azure

Vraťte se do Microsoft Endpoint Manager admin center, do sekce Apple MDM Push Certificate. Zde:

  1. Klikněte na tlačítko Upload your APNs certificate (Nahrát váš APNs certifikát) nebo podobné tlačítko pro dokončení obnovení.
  2. Nahrajte soubor .pem nebo .cer, který jste právě stáhli z portálu Apple.
  3. Zadejte Apple ID, které jste použili k vytvoření certifikátu.
  4. Potvrďte změny.

Po úspěšném nahrání by se měl status certifikátu v Azure změnit na „Active“ a datum vypršení platnosti by se mělo prodloužit o jeden rok.

Řešení běžných problémů: "Access to this page requires authorization."

Jedním z nejčastějších problémů, se kterými se uživatelé potýkají při správě APNs certifikátů v Azure, je chybová zpráva „Access to this page requires authorization. You can try signing in or changing directories.“ nebo „Access to this page requires authorization. You can try changing directories.“ Tato zpráva signalizuje problém s oprávněními nebo s adresářem (tenantem), ke kterému se pokoušíte přistupovat.

Možné příčiny a řešení:

  1. Nesprávný účet nebo adresář:

    Příčina: Jste přihlášeni do Azure Portal, ale pod účtem, který nemá oprávnění k přístupu k danému předplatnému nebo adresáři (tenantovi), kde je Intune nakonfigurován. Může se stát, že máte více Azure AD tenantů a jste přihlášeni do nesprávného.

    Řešení: Ujistěte se, že jste přihlášeni s účtem, který je součástí správného Azure AD tenanta, kde je Intune aktivní. Můžete se pokusit změnit adresář kliknutím na ikonu vašeho profilu v pravém horním rohu Azure Portal a vybrat možnost „Switch directory“ (Změnit adresář).

  2. Nedostatečná oprávnění:

    Příčina: I když jste ve správném adresáři, váš uživatelský účet nemusí mít dostatečná oprávnění k prohlížení nebo úpravě nastavení Intune a APNs certifikátů.

    How do I download an APNs certificate?
    Download the APNs certificate created by the Apple Push Certificate Portal to your computer. [!TIP] If you're having trouble downloading the certificate, refresh your browser. Go back to Microsoft Azure and browse to the APNs certificate that you downloaded from the Apple Push Certificates Portal. Select Upload.

    Řešení: Ujistěte se, že váš účet má přidělenou roli, která umožňuje správu Intune. Typicky to jsou role jako Global Administrator (Globální administrátor) nebo Intune Service Administrator (Správce služby Intune). Pokud nemáte tato oprávnění, budete muset požádat jiného administrátora ve vaší organizaci, aby vám je přidělil nebo aby provedl operaci za vás.

  3. Problémy s licenčním předplatným:

    Příčina: Pokud vaše předplatné Azure nebo licence Intune vypršela nebo je v neaktivním stavu, můžete narazit na problémy s přístupem k funkcím Intune.

    Řešení: Ověřte stav vašeho předplatného a licencí v Azure Portal. Ujistěte se, že jsou platné a aktivní.

  4. Problémy s prohlížečem nebo mezipamětí:

    Příčina: Někdy mohou dočasné soubory prohlížeče nebo chyby v mezipaměti způsobit problémy s načítáním stránek.

    Řešení: Zkuste vymazat mezipaměť a soubory cookie prohlížeče, použít anonymní režim (Incognito/InPrivate) nebo zkusit jiný webový prohlížeč.

Srovnání: Ruční správa APNs vs. Správa přes Intune

Pro lepší pochopení, jak Intune zjednodušuje proces, se podívejme na srovnání ruční správy APNs certifikátu a správy prostřednictvím Microsoft Intune.

FunkceRuční správa APNs (obecné MDM)Správa APNs přes Microsoft Intune
Generování CSRČasto vyžaduje ruční použití nástrojů (OpenSSL) nebo specifických funkcí MDM serveru.Integrovaný průvodce v Azure Portal automaticky generuje a stahuje CSR.
Nahrání na Apple PortalMusíte ručně přejít na Apple Push Certificates Portal a nahrát CSR.Průvodce vás přímo přesměruje na Apple Portal.
Stažení certifikátuRučně stáhnete certifikát (.pem/.cer) z Apple Portal.Ručně stáhnete certifikát (.pem/.cer) z Apple Portal po obnovení.
Nahrání do MDMRučně nahrajete certifikát do vašeho MDM serveru.Průvodce v Azure Portal vás vyzve k nahrání staženého certifikátu.
Sledování platnostiČasto vyžaduje manuální sledování data vypršení platnosti.Azure Portal zobrazuje datum vypršení platnosti a může posílat upozornění.
KomplexnostMůže být složitější pro začátečníky, vyžaduje pochopení různých formátů souborů.Zjednodušený a řízený proces, který snižuje riziko chyb.

Často kladené otázky (FAQ)

1. Proč je tak důležité obnovit APNs certifikát PŘED jeho vypršením?

Pokud APNs certifikát vyprší, vaše MDM řešení (včetně Intune) ztratí schopnost komunikovat s vašimi iOS zařízeními. To znamená, že nebudete moci odesílat vzdálené příkazy, instalovat nebo odinstalovávat aplikace, vynucovat zásady nebo provádět jakékoli jiné správy. Zařízení zůstanou zaregistrována, ale budou „offline“ z hlediska MDM. Po obnovení vypršelého certifikátu se zařízení automaticky nepřipojí zpět; často je nutné je ručně znovu zaregistrovat, což je velmi časově náročné, pokud máte mnoho zařízení.

2. Co se stane, když obnovím APNs certifikát s jiným Apple ID?

Pokud obnovíte APNs certifikát s jiným Apple ID, než se kterým byl původní certifikát vytvořen, Apple považuje nový certifikát za zcela nový. To způsobí, že se původní certifikát stane neplatným a vaše MDM řešení ztratí spojení s vašimi zařízeními. Stejně jako u vypršeného certifikátu, i v tomto případě budete muset všechna zařízení znovu zaregistrovat. To je důvod, proč je nejdůležitější pravidlo pro správu APNs certifikátů: VŽDY POUŽÍVEJTE STEJNÉ APPLE ID!

3. Mohu použít jeden APNs certifikát pro více MDM systémů?

Ne, jeden APNs certifikát je svázán s jedním MDM řešením. Pokud používáte více MDM platforem pro správu různých skupin iOS zařízení, budete potřebovat samostatný APNs certifikát pro každou z nich. Každý certifikát je spojen s konkrétním MDM certifikátem (UUID) a Apple ID.

4. Jak často je potřeba APNs certifikát obnovovat?

APNs certifikát má platnost 365 dní (jeden rok). Musí být obnovován každoročně, aby se zajistila nepřetržitá správa zařízení. Doporučuje se nastavit si připomínku s dostatečným předstihem (např. 30 dní před vypršením), aby bylo dostatek času na provedení obnovy.

5. Kde najdu Apple ID, se kterým byl certifikát vytvořen?

V Microsoft Endpoint Manager admin center (Azure Portal), v sekci Tenant administration > Connectors and tokens > Apple MDM Push Certificate, je uvedeno Apple ID, se kterým byl certifikát vytvořen. Toto je kritická informace pro správné obnovení.

Správa APNs certifikátů je zásadní pro plynulou a efektivní správu iOS zařízení ve vaší organizaci. Pochopením procesu generování, obnovy a řešení běžných problémů, jako jsou chyby autorizace, můžete zajistit, že vaše firemní iPhony a iPady budou vždy pod kontrolou a zabezpečeny. Pravidelné obnovení a použití správného Apple ID jsou klíčem k úspěchu. Doufáme, že tento podrobný průvodce vám pomohl rozptýlit veškeré pochybnosti a usnadnil vám práci s APNs certifikáty.

Chceš-li si přečíst další články podobné jako Průvodce stažením APNs certifikátu pro iPhone, navštiv kategorii iPhone.

Go up