Konfigurace zařízení pro práci se službou APNs
Služby správy zařízení nepřetržitě komunikují se zařízeními Apple ve veřejných i soukromých sítích prostřednictvím služby APNs (Apple Push Notification service). Jejím prostřednictvím získávají zařízení Apple informace o aktualizacích, pravidlech služeb správy zařízení a příchozích zprávách. Vyžadují přitom použití několika certifikátů, mezi něž patří certifikát APNs pro komunikaci se zařízeními, certifikát SSL pro zabezpečení komunikace a certifikát pro podepisování konfiguračních profilů.
Aby mohla zařízení Apple službu APNs využívat, je nutné přímo nebo prostřednictvím síťového proxy serveru povolit síťový provoz mezi zařízením a sítí Apple (17.0.0.0/8). Zařízení Apple potřebují mít možnost připojit se ke specifickým portům konkrétních hostitelů:
TCP port 443 při aktivaci zařízení a jako záložní port v případě, že zařízení nemá přístup ke službě APNs na portu 5223.
TCP port 5223 pro komunikaci se službou APNs.
TCP port 443 nebo 2197 pro posílání oznámení ze služby správy zařízení službě APNs.
Dále je možné, že budete muset v konfiguraci webové proxy služby nebo portů firewallu povolit veškerý síťový provoz mezi zařízeními Apple a sítí Apple. Na zařízeních se systémy iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 a novějšími může služba APNs využívat webový proxy server, pokud je uvedený v souboru pro automatickou konfiguraci proxy (PAC).
Poznámka: Zařízení Apple Vision Pro může přijímat push oznámení, jen když je nasazené a odemknuté.
V koncových bodech a na serverech je u služby APNs uplatňováno několik vrstev zabezpečení. Dojde‑li k pokusu o kontrolu nebo přesměrování datového provozu, klient, služba APNs a servery poskytovatele služby push označí síťovou konverzaci jako narušenou a neplatnou. Služba APNs nepřenáší žádné důvěrné ani interní informace.
Tip: Při vytváření APNs certifikátů určených pro službu správy zařízení si poznamenejte, který spravovaný (doporučeno) nebo nespravovaný účet Apple jste použili. Budete ho potřebovat k nezbytnému každoročnímu prodlužování platnosti certifikátů. Buďte také připravení aktualizovat všechny certifikáty, které vaše služba správy zařízení využívá, s dostatečným předstihem před vypršením platnosti. Další podrobnosti najdete na webu Apple Push Certificates Portal.
Vylepšené zabezpečení nastavení push oznámení
Vývojáři služeb správy zařízení můžou v současné době k zajištění jednoduchého postupu vytváření certifikátů push pro své zákazníky využívat službu APNs (Apple Push Notification service). Jeho součástí je vytvoření žádosti o podepsání certifikátu (CSR) pro každého zákazníka a její podepsání. Za účelem obdržení certifikátu z portálu Apple Push Certificates může pak každý zákazník použít poskytnutou žádost o podepsání certifikátu (CSR).
Portál Apple Push Certificates v zájmu lepšího zabezpečení vyžaduje, aby byly žádosti o podepsání certifikátu (CSR) podepsány s použitím algoritmu SHA2. Pro žádosti o podepsání certifikátu (CSR) podepsané prostřednictvím algoritmu SHA1 nebudou certifikáty poskytovány. Další informace o doporučených postupech najdete v části Setting Up Push Notifications (Nastavení push oznámení) na webových stránkách Apple Developer.