Este artículo está dirigido a los administradores de redes empresariales y educativas.
Los productos Apple requieren acceso a los hosts de Internet que se indican en este artículo para una variedad de servicios. Aquí se explica cómo los dispositivos se conectan a los hosts y funcionan con proxies:
- Los dispositivos, no los hosts operados por Apple, inician las conexiones de red a los hosts que se indican a continuación.
- Los servicios de Apple fallarán en cualquier conexión que use la intercepción HTTPS (inspección SSL). Si el tráfico HTTPS circula a través de un proxy web, desactiva la intercepción HTTPS para los hosts que se mencionan en este artículo.
Asegúrate de que los dispositivos Apple puedan acceder a los hosts que se indican a continuación.
Notificaciones push de Apple
Obtén información sobre cómo solucionar problemas de conexión a Apple Push Notification Service (APNS). En el caso de los dispositivos que envían todo el tráfico a través de un proxy HTTP, puedes configurar el proxy manualmente en el dispositivo o con un perfil de configuración. Las conexiones a APNS fallan si los dispositivos están configurados para usar el proxy HTTP con un archivo de configuración automática de proxy (PAC).
Configuración del dispositivo
Es posible que se requiera acceso a los siguientes hosts cuando configures el dispositivo o instales, actualices o restaures el sistema operativo.
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS y macOS | Sí | |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS y macOS | Validación de la conectividad a Internet para redes que usan portales cautivos. | Sí |
| gs.apple.com | 443 | TCP | iOS, tvOS y macOS | Sí | |
| humb.apple.com | 443 | TCP | iOS, tvOS y macOS | Sí | |
| static.ips.apple.com | 443, 80 | TCP | iOS, tvOS y macOS | Sí | |
| tbsc.apple.com | 443 | TCP | Solo macOS | Sí | |
| time-ios.apple.com | 123 | UDP | Solo iOS y tvOS | Usado por los dispositivos para configurar la fecha y la hora. | — |
| time.apple.com | 123 | UDP | iOS, tvOS y macOS | Usado por los dispositivos para configurar la fecha y la hora. | — |
| time-macos.apple.com | 123 | UDP | Solo macOS | Usado por los dispositivos para configurar la fecha y la hora. | — |
Administración de dispositivos
Es posible que se requiera acceso de red a los siguientes hosts para los dispositivos inscritos en la administración de dispositivos móviles (MDM):
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS y macOS | Notificaciones Push | Obtén más información sobre APNS y los proxies. |
| gdmf.apple.com | 443 | TCP | iOS, tvOS y macOS | Servidor de MDM para identificar qué actualizaciones de software están disponibles para los dispositivos que usan actualizaciones de software administradas. | Sí |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS y macOS | Inscripción provisoria en el Programa de inscripción de dispositivos (DEP). | — |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS y macOS | — | |
| identity.apple.com | 443 | TCP | iOS, tvOS y macOS | Portal de solicitud de certificados de APNS. | Sí |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS y macOS | Aloja los perfiles de inscripción que se usan cuando se inscriben dispositivos en Apple School Manager o Apple Business Manager mediante la inscripción de dispositivos. | Sí |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS y macOS | Servidores de MDM para cargar los perfiles de inscripción que usan los clientes que se inscriben mediante la inscripción de dispositivos en Apple School Manager o Apple Business Manager, y para buscar dispositivos y cuentas. | Sí |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS y macOS | Servidores de MDM para realizar operaciones relacionadas con Apps y libros, como asignar o revocar licencias en un dispositivo. | Sí |
Actualizaciones de software
Asegúrate de poder acceder a los siguientes puertos para actualizar macOS y apps de Mac App Store, y usar el almacenamiento de contenido en caché.
macOS, iOS y tvOS
Se requiere acceso de red a los siguientes nombres de host para instalar, restaurar y actualizar macOS, iOS y tvOS:
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Solo iOS | Actualizaciones de iOS | — |
| gg.apple.com | 443, 80 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| gnf-mdn.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| gnf-mr.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| gs.apple.com | 443, 80 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| ig.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS y macOS | Aloja catálogos de actualización de software. | — |
| ns.itunes.apple.com | 443 | TCP | Solo iOS | Sí | |
| oscdn.apple.com | 443, 80 | TCP | Solo macOS | Recuperación de macOS | — |
| osrecovery.apple.com | 443, 80 | TCP | Solo macOS | Recuperación de macOS | — |
| skl.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swcdn.apple.com | 80 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swdist.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| swdownload.apple.com | 443, 80 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| swpost.apple.com | 80 | TCP | Solo macOS | Actualizaciones de macOS | Sí |
| swscan.apple.com | 443 | TCP | Solo macOS | Actualizaciones de macOS | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS y macOS | — | |
| updates.apple.com | 443 | TCP | iOS, tvOS y macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS y macOS | — | |
| xp.apple.com | 443 | TCP | iOS, tvOS y macOS | Sí |
App Store
Es posible que se requiera acceso a los siguientes hosts para actualizar las apps:
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS y macOS | Almacena contenido, como apps, libros y música. | Sí |
| *.apps.apple.com | 443 | TCP | iOS, tvOS y macOS | Almacena contenido, como apps, libros y música. | Sí |
| *.mzstatic.com | 443 | TCP | iOS, tvOS y macOS | Almacena contenido, como apps, libros y música. | — |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS y macOS | Sí | |
| ppq.apple.com | 443 | TCP | iOS, tvOS y macOS | Validación de apps empresariales. | — |
Almacenamiento de contenido en caché
Se requiere acceso al siguiente host para una Mac que usa el almacenamiento de contenido en caché de macOS:
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Solo macOS | Registro del servidor de almacenamiento de contenido en caché. | Sí |
Notarización de apps
A partir de macOS 10.14.5, el software se verifica mediante notarización antes de su ejecución. Para que el resultado de la verificación sea satisfactorio, la Mac debe tener acceso a los hosts que figuran en la sección Ensure Your Build Server Has Network Access (Comprobar que el servidor de compilación tiene acceso a red) del artículo Customizing the Notarization Workflow (Personalización del flujo de trabajo de la notarización):
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Solo macOS | Entrega de tickets. | — |
| 17.250.64.0/18 | 443 | TCP | Solo macOS | Entrega de tickets. | — |
| 17.248.192.0/19 | 443 | TCP | Solo macOS | Entrega de tickets. | — |
Validación de certificados.
Los dispositivos Apple deben poder conectarse a los siguientes hosts para validar los certificados digitales que usan los hosts que se mencionaron anteriormente:
| Hosts | Puertos | Protocolo | OS | Descripción | Compatibilidad con proxies |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| crl.entrust.net | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| crl3.digicert.com | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| crl4.digicert.com | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| ocsp.apple.com | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS y macOS | Validación de certificados. | — |
Firewalls
Si el firewall admite el uso de nombres de host, quizás puedas usar la mayoría de los servicios de Apple anteriores si permites conexiones salientes a *.apple.com. Si el firewall solo se puede configurar con direcciones IP, permite conexiones salientes a 17.0.0.0/8. Todo el bloque de direcciones 17.0.0.0/8 está asignado a Apple.
Proxy HTTP
Puedes usar los servicios de Apple a través de un proxy si desactivas la inspección y la autenticación de paquetes para el tráfico hacia y desde los hosts que se mencionaron. Las excepciones se mencionan más arriba. Los intentos de realizar una inspección de contenido en las comunicaciones cifradas entre los dispositivos y los servicios de Apple harán que se pierda la conexión para preservar la seguridad de la plataforma y la privacidad de los usuarios.
- Consulta una lista de puertos TCP y UDP que usan los productos de software de Apple.
- Averigua qué puertos usa el Administrador de perfiles de macOS Server.
- Obtén información sobre las conexiones de host de servidor de macOS, iOS y iTunes, y los procesos en segundo plano de iTunes.
- Personaliza el flujo de trabajo de la notarización.