Тази статия е предназначена за администратори на корпоративни и образователни мрежи.
Продуктите на Apple изискват достъп до интернет хостовете от тази статия за най-различни услуги. Ето как вашите устройства се свързват с хостове и работят с прокси сървъри:
- Мрежовите връзки към хостовете по-долу се предприемат от устройството, а не от хостовете, управлявани от Apple.
- Услугите на Apple ще провалят всяка връзка, която използва HTTPS прихващане (SSL надзор). Ако HTTPS обменът преминава през уеб прокси сървър, изключете HTTPS прихващането за хостовете, изброени в тази статия.
Уверете се, че вашите устройства на Apple имат достъп до изброените по-долу хостове.
Apple Push Notifications (подадени от сървъра известия)
Научете как да отстранявате неизправности при свързването към услугата Apple Push Notification (APN). За устройства, които изпращат целия обмен през HTTP прокси, можете да конфигурирате проксито или ръчно на устройството, или с конфигурационен профил. Свързването към APN се проваля, ако устройствата са конфигурирани да използват HTTP прокси с файл за автоматично конфигуриране (PAC) на прокси.
Настройване на устройството
Може да се изисква достъп до следните хостове при настройване на вашето устройство или при инсталиране, обновяване или възстановяване на операционната система.
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Удостоверяване на интернет връзката за мрежи, които използват портали за задържане (captive portal). | Да |
| gs.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| humb.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| static.ips.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Да | |
| tbsc.apple.com | 443 | TCP | Само macOS | Да | |
| time-ios.apple.com | 123 | UDP | Само iOS и tvOS | Използва се от устройства за задаване на дата и час | — |
| time.apple.com | 123 | UDP | iOS, tvOS и macOS | Използва се от устройства за задаване на дата и час | — |
| time-macos.apple.com | 123 | UDP | Само macOS | Използва се от устройства за задаване на дата и час | — |
Device Management (Управление на устройства)
За устройства, записани в Управление на мобилни устройства (Mobile Device Management, MDM), може да се изисква мрежов достъп до следните хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS и macOS | Push notifications (подадени от сървъра известия) | Научете повече за APN и прокси сървърите. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS и macOS | MDM сървър, за да определи кои обновявания на софтуера са достъпни за устройства, които използват управлявани софтуерни обновявания. | Да |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS и macOS | Временно записване в DEP. | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS и macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS и macOS | Портал за заявки за сертификати на APN. | Да |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS и macOS | Профили за записване в хостове, които се използват, когато устройства се запишат в Apple School Manager или Apple Business Manager чрез Device Enrollment (Записване на устройство) | Да |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS и macOS | MDM сървъри за качване на профили за записване, използвани от клиенти, които се записват чрез Device Enrollment в Apple School Manager или Apple Business Manager, и за търсене на устройства и акаунти. | Да |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS и macOS | MDM сървъри за извършване на дейности, свързани с приложения и книги, като приписване или отнемане на лицензи на устройство. | Да |
Обновявания на софтуер
Уверете се, че имате достъп до следните портове за обновяване на macOS, на приложения от Mac App Store и за използване на кеширане на съдържание.
macOS, iOS и tvOS
За инсталиране, възстановяване и обновяване на macOS, iOS и tvOS се изисква мрежов достъп до следните имена на хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Само iOS | Обновявания за iOS | — |
| gg.apple.com | 443, 80 | TCP | Само macOS | Обновявания за macOS | Да |
| gnf-mdn.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| gnf-mr.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| gs.apple.com | 443, 80 | TCP | Само macOS | Обновявания за macOS | Да |
| ig.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Хоства каталози за обновяване на софтуер | — |
| ns.itunes.apple.com | 443 | TCP | Само iOS | Да | |
| oscdn.apple.com | 443, 80 | TCP | Само macOS | Възстановяване на macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | Само macOS | Възстановяване на macOS | — |
| skl.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| swcdn.apple.com | 80 | TCP | Само macOS | Обновявания за macOS | — |
| swdist.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| swdownload.apple.com | 443, 80 | TCP | Само macOS | Обновявания за macOS | Да |
| swpost.apple.com | 80 | TCP | Само macOS | Обновявания за macOS | Да |
| swscan.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS и macOS | — | |
| updates.apple.com | 443 | TCP | iOS, tvOS и macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS и macOS | — | |
| xp.apple.com | 443 | TCP | iOS, tvOS и macOS | Да |
App Store
За обновяване на приложенията може да се изисква достъп до следните хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Съхранява съдържание като приложения, книги и музика | Да |
| *.apps.apple.com | 443 | TCP | iOS, tvOS и macOS | Съхранява съдържание като приложения, книги и музика | Да |
| *.mzstatic.com | 443 | TCP | iOS, tvOS и macOS | Съхранява съдържание като приложения, книги и музика | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Да | |
| ppq.apple.com | 443 | TCP | iOS, tvOS и macOS | Удостоверяване на Enterprise App (корпоративно приложение) | — |
Кеширане на съдържание
За Mac се изисква достъп до следния хост, който използва macOS кеширане на съдържание:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Само macOS | Регистрация на сървъра за кеширане на съдържание | Да |
Нотаризация на приложения
Започвайки от macOS 10.14.5, софтуерът се проверява за нотаризация, преди да се пусне. За да успее тази проверка, Mac трябва да има възможност да получи достъп до същите хостове, изброени в раздел „Уверете се, че вашият сървър за изграждане на приложения има мрежов достъп“ в „Приспособяване на работния поток на нотаризация“:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Само macOS | Доставка на билети | — |
| 17.250.64.0/18 | 443 | TCP | Само macOS | Доставка на билети | — |
| 17.248.192.0/19 | 443 | TCP | Само macOS | Доставка на билети | — |
Удостоверяване на сертификати
Устройствата на Apple трябва да могат да се свързват със следните хостове, за да удостоверяват цифрови сертификати, използвани от изброените по-горе хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS и macOS | Удостоверяване на сертификати | — |
Защитни стени
Ако вашата защитна стена поддържа имена на хостове, може да имате възможност да използвате повечето от услугите на Apple горе, като разрешите изходящи връзки към *.apple.com. Ако вашата защитна стена може да бъде конфигурирана само с IP адреси, разрешете изходящи връзки към 17.0.0.0/8. Целият адресен блок 17.0.0.0/8 е присвоен на Apple.
HTTP прокси
Можете да използвате услугите на Apple през прокси, ако забраните проверката на пакети и удостоверяването на обмена към и от изброените хостове. Изключенията от това са отбелязани по-горе. Опитите за извършване на проверка на съдържанието на криптирани съобщения между устройства и услуги на Apple ще доведат до зависнала връзка, за да се запази сигурността на платформата и поверителността на потребителите.
- Вижте списък с TCP и UDP портове, използвани от софтуерните продукти на Apple.
- Разберете кои портове се използват от Profile Manager (Управител на профили) в macOS Server.
- Научете за връзките към хост сървър на macOS, iOS и iTunes и за фоновите процеси на iTunes.
- Приспособяване на работния поток на нотаризация.