Konfigurieren von Geräten für die Zusammenarbeit mit APNS
Geräteverwaltungsdienste verwenden den Apple-Dienst für Push-Benachrichtigungen (APNS), um die kontinuierliche Kommunikation mit Apple-Geräten in öffentlichen und privaten Netzwerken aufrechtzuerhalten. Durch die Verwendung von APNs werden Apple-Geräte über Aktualisierungen, Richtlinien des Geräteverwaltungsdienstes und eingehende Nachrichten informiert. Geräteverwaltungsdienste erfordern mehrere Zertifikate. Dies schließt ein APNS-Zertifikat für die Kommunikation mit Geräten, ein SSL-Zertifikat für die sichere Kommunikation und ein Zertifikat zum Signieren von Konfigurationsprofilen ein.
Damit Apple-Geräte diesen Dienst verwenden können, muss der Netzwerkverkehr von diesen Geräten an Apple (17.0.0.0/8) direkt oder über einen Netzwerk-Proxy zugelassen werden. Apple-Geräte müssen Verbindungen zu spezifischen Ports bestimmter Hosts herstellen können:
Der TCP-Port 443 wird für die Geräteaktivierung und danach als Ausweichoption verwendet, wenn Geräte den APNS auf Port 5223 nicht erreichen können
Der TCP-Port 5223 wird für die Kommunikation mit dem APNS verwendet
TCP-Port 443 oder 2197 zum Senden von Mitteilungen vom Geräteverwaltungsdienst an APNs
Möglicherweise müssen auch der Web-Proxy oder die Firewall-Ports so umkonfiguriert werden, dass der gesamte Netzwerkverkehr von Apple-Geräten an das Apple-Netzwerk passieren kann. Bei Geräten mit iOS 13.4, iPadOS 13.4, macOS 10.15.4 und tvOS 13.4 (oder neuer) können APNs einen Web-Proxy verwenden, wenn sie in einer Proxy-Auto-Config-Datei (PAC) spezifiziert sind.
Hinweis: Die Apple Vision Pro kann nur Push-Mitteilungen erhalten, wenn das Gerät getragen wird und entsperrt ist.
Es werden mehrere Sicherheitsebenen auf APNS an den Endpunkten und Servern verwendet. Wenn versucht wird, den Datenverkehr zu inspizieren oder umzuleiten, markieren APNS und der Push-Anbieter die Netzwerkkonversation als beschädigt und ungültig. Es werden keine vertraulichen oder betriebsinternen Informationen über APNS übertragen.
Tipp: Notiere beim Erstellen von APNS-Zertifikaten für die Verwendung mit einem Geräteverwaltungsdienst den verwalteten Apple Account (empfohlen) oder den Apple Account, der verwendet wird. Dieser Account muss beim Erneuern der Zertifikate angegeben werden, was jährlich erfolgen muss. Alle vom Geräteverwaltungsdienst verwendeten Zertifikate sollten rechtzeitig vor dem Ablaufen aktualisiert werden. Weitere Informationen enthält das Apple Push Certificates Portal.
Sicherheitsverbesserungen für das Einrichten von Push-Mitteilungen
Für die Entwicklungsteams von Geräteverwaltungsdiensten kann derzeit der APN-Dienst (Apple Push Notification) genutzt werden, um einen optimierten Erstellungsprozess für Push-Zertifikate für ihre Kund:innen zu erstellen. Hierbei ist das Erstellen und Signieren von CSRs (Aufforderungen zum Signieren von Zertifikaten) für alle Kund:innen eingeschlossen. Diese können anschließend das übergebene CSR-Objekt nutzen, um ein Zertifikat über das Apple Push Certificates-Portal zu erhalten.
Das Portal für Apple-Push-Zertifikate erfordert für CSRs die Signierung via SHA2-Algorithmus, um die Sicherheit zu erhöhen. Zertifikate werden für CSRs, die mit SHA1 signiert sind, nicht ausgegeben. Weitere Informationen zu bewährten Verfahren erhältst du unter Setting Up Push Notifications (Push-Mitteilungen einrichten) auf der Developer-Website von Apple.