Тази статия е предназначена за администратори на корпоративни и образователни мрежи.
Продуктите на Apple изискват достъп до интернет хостовете от тази статия за най-различни услуги. Ето как вашите устройства се свързват с хостове и работят с прокси сървъри:
- Мрежовите връзки към хостовете по-долу се инициират от устройството, а не от хостовете, управлявани от Apple.
- Услугите на Apple ще откажат всяка връзка, която използва HTTPS прихващане (SSL прихващане). Ако HTTPS обменът преминава през уеб прокси сървър, изключете HTTPS прихващането за хостовете, изброени в тази статия.
Уверете се, че вашите устройства на Apple имат достъп до изброените по-долу хостове.
Apple Push Notifications (Подадени от сървъра известия на Apple)
Научете как да отстранявате неизправности при свързването към услугата Apple Push Notification (Подадени от сървъра известия на Apple) (APN). За устройства, които изпращат целия трафик през HTTP прокси, можете да конфигурирате проксито или ръчно на устройството, или с конфигурационен профил. Започвайки с macOS 10.15.5, устройствата могат да се свързват към APN, когато са конфигурирани да използват HTTP прокси с прокси файл с автоматично конфигуриране (PAC).
Настройване на устройството
Може да се изисква достъп до следните хостове при настройване на вашето устройство или при инсталиране, обновяване или възстановяване на операционната система.
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS и macOS | Активиране на устройството | Да |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Проверка на интернет връзката за мрежи, които използват портали за задържане | Да |
| gs.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| humb.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| static.ips.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Да | |
| sq-device.apple.com | 443 | TCP | Само iOS | Активиране на eSIM | — |
| tbsc.apple.com | 443 | TCP | iOS, tvOS и macOS | Да | |
| time-ios.apple.com | 123 | UDP | Само iOS и tvOS | Използва се от устройства за задаване на дата и час | — |
| time.apple.com | 123 | UDP | iOS, tvOS и macOS | Използва се от устройства за задаване на дата и час | — |
| time-macos.apple.com | 123 | UDP | Само macOS | Използва се от устройства за задаване на дата и час | — |
Device Management (Управление на устройства)
За устройства, записани в Mobile Device Management (Управление на мобилни устройства, MDM), може да се изисква мрежов достъп до следните хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS и macOS | Push notifications (Подадени от сървъра известия) | Научете повече за APN и прокси сървърите. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS и macOS | Използва се от MDM сървър, за да идентифицира кои софтуерни актуализации са достъпни за устройства, които използват управлявани софтуерни актуализации | Да |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS и macOS | Временно записване в DEP | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS и macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS и macOS | Портал за заявки за сертификати на APN | Да |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS и macOS | Профили за записване в хостове, които се използват, когато устройства се запишат в Apple School Manager или Apple Business Manager чрез Device Enrollment (Записване на устройства) | Да |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS и macOS | MDM сървъри за качване на профили за записване, използвани от клиенти, които се записват чрез Device Enrollment (Записване на устройства) в Apple School Manager или Apple Business Manager, и за търсене на устройства и акаунти | Да |
| setup.icloud.com | 443 | TCP | Само iOS | Изисква се да влезете с управляван Apple ID на споделен iPad | — |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS и macOS | MDM сървъри за извършване на операции, свързани с Apps and Books (Приложения и книги), като назначаване или отнемане на лицензи на устройство | Да |
Apple School Manager и Apple Business Manager
За пълната функционалност на Apple School Manager и Apple Business Manager е необходим мрежов достъп до следните хостове, както и до хостовете в раздела App Store.
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
| *.school.apple.com | 443, 80 | TCP | - | Услуга Schoolwork Roster (Списък в Schoolwork) | - |
| ws-ee-maidsvc.icloud.com | 443, 80 | TCP | - | Услуга Schoolwork Roster (Списък в Schoolwork) | - |
| *.business.apple.com. | 443, 80 | TCP | - | Apple Business Manager | - |
| isu.apple.com | 443, 80 | TCP | - | - |
Обновявания на софтуер
Уверете се, че имате достъп до следните портове за обновяване на macOS, на приложения от Mac App Store и за използване на кеширане на съдържание.
macOS, iOS и tvOS
За инсталиране, възстановяване и обновяване на macOS, iOS и tvOS се изисква мрежов достъп до следните имена на хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Само iOS | Обновявания за iOS | — |
| configuration.apple.com | 443 | TCP | macOS | Актуализации на Rosetta 2 | - |
| gg.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Обновявания за iOS, tvOS и macOS | Да |
| gnf-mdn.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| gnf-mr.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| gs.apple.com | 443, 80 | TCP | Само macOS | Обновявания за macOS | Да |
| ig.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | Да |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Хоства каталози за обновяване на софтуер | — |
| ns.itunes.apple.com | 443 | TCP | Само iOS | Да | |
| oscdn.apple.com | 443, 80 | TCP | Само macOS | Възстановяване на macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | Само macOS | Възстановяване на macOS | — |
| skl.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| swcdn.apple.com | 80 | TCP | Само macOS | Обновявания за macOS | — |
| swdist.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| swdownload.apple.com | 443, 80 | TCP | Само macOS | Обновявания за macOS | Да |
| swpost.apple.com | 80 | TCP | Само macOS | Обновявания за macOS | Да |
| swscan.apple.com | 443 | TCP | Само macOS | Обновявания за macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS и macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS и macOS | — | |
| xp.apple.com | 443 | TCP | iOS, tvOS и macOS | Да |
App Store
За обновяване на приложенията може да се изисква достъп до следните хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Съхраняване на съдържание като приложения, книги и музика | Да |
| *.apps.apple.com | 443 | TCP | iOS, tvOS и macOS | Съхраняване на съдържание като приложения, книги и музика | Да |
| *.mzstatic.com | 443 | TCP | iOS, tvOS и macOS | Съхраняване на съдържание като приложения, книги и музика | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS и macOS | Да | |
| ppq.apple.com | 443 | TCP | iOS, tvOS и macOS | Проверка на Enterprise App (Корпоративно приложение) | — |
Кеширане на съдържание
За Mac, който използва кеширане на съдържание в macOS, се изисква достъп до следния хост:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Само macOS | Регистрация на сървъра за кеширане на съдържание | Да |
| serverstatus.apple.com | 443 | TCP | iOS, tvOS и macOS | Определяне на публичния IP на клиента за кеширане на съдържание | Да |
Разработчик на Apple
За нотаризация и проверка на приложения се изисква достъп до следните хостове.
Нотаризация на приложения
Започвайки от macOS 10.14.5, софтуерът се проверява за нотаризация, преди да се пусне. За да бъде тази проверка успешна, Mac трябва да има възможност да получи достъп до същите хостове, изброени в раздел „Уверете се, че вашият сървър за изграждане на приложения има мрежов достъп“ в „Приспособяване на работния поток на нотаризация“:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Само macOS | Доставка на билети | — |
| 17.250.64.0/18 | 443 | TCP | Само macOS | Доставка на билети | — |
| 17.248.192.0/19 | 443 | TCP | Само macOS | Доставка на билети | — |
Проверка на приложението
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
| *.appattest.apple.com | 443 | TCP | iOS и macOS | Проверка на приложението, удостоверяване с Touch ID и Face ID за уебсайтове | - |
Feedback Assistant (Помощник за обратна връзка)
Feedback Assistant (Помощник за обратна връзка) е приложение, използвано от разработчици и членове на бета софтуерните програми, за да докладва обратна връзка на Apple. То използва следните хостове:
| Хостове | Порт | Протокол | ОС | Описание | Поддържа проксита |
| fba.apple.com | 443 | TCP | iOS, tvOS и macOS | Използва се от Feedback Assistant (Помощник за обратна връзка) за подаване и преглед на отзиви | Да |
| cssubmissions.apple.com | 443 | TCP | iOS, tvOS и macOS | Използва се от Feedback Assistant (Помощник за обратна връзка) за качване на файлове | Да |
| bpapi.apple.com | 443 | TCP | само tvOS | Осигурява бета актуализации на софтуера | Да |
Диагностика на Apple
Устройствата на Apple могат да имат достъп до следния хост, за да извършват диагностика, използвана за откриване на възможен хардуерен проблем:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
| diagassets.apple.com | 443 | TCP | iOS, tvOS и macOS | Използва се от устройства на Apple, за да помогне за откриване на възможни хардуерни проблеми | Да |
Преобразуване на системата за имена на домейни
За да се използва преобразуване на криптирана система за имена на домейни (DNS) в iOS 14, tvOS 14 и macOS Big Sur, ще се осъществи връзка със следния хост:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
| doh.dns.apple.com | 443 | TCP | iOS, tvOS и macOS | Използва се за DNS през HTTPS (DoH) | Да |
Проверка на сертификати
Устройствата на Apple трябва да могат да се свързват със следните хостове, за да проверяват цифрови сертификати, използвани от изброените по-горе хостове:
| Хостове | Портове | Протокол | ОС | Описание | Поддържа проксита |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS и macOS | Проверка на сертификати | — |
| valid.apple.com | 443 | TCP | iOS, tvOS и macOS | Проверка на сертификати | Да |
Защитни стени
Ако вашата защитна стена поддържа имена на хостове, може да имате възможност да използвате повечето от услугите на Apple по-горе, като разрешите изходящи връзки към *.apple.com. Ако вашата защитна стена може да бъде конфигурирана само с IP адреси, разрешете изходящи връзки към 17.0.0.0/8. Целият адресен блок 17.0.0.0/8 е присвоен на Apple.
HTTP прокси
Можете да използвате услугите на Apple през прокси, ако забраните проверката на пакети и удостоверяването на обмена към и от изброените хостове. Изключенията от това са отбелязани по-горе. Опитите за извършване на проверка на съдържанието на криптирани съобщения между устройства и услуги на Apple ще доведат до прекъсване на връзката, за да се запази сигурността на платформата и поверителността на потребителите.
- Вижте списък с TCP и UDP портове, използвани от софтуерните продукти на Apple.
- Разберете кои портове се използват от Profile Manager (Управител на профили) в macOS Server.
- Научете за връзките към хост сървър на macOS, iOS и iTunes и за фоновите процеси на iTunes.
- Приспособяване на работния поток на нотаризация.