Eszközök konfigurálása az APNs használatára
Az eszközfelügyeleti szolgáltatások az Apple Push értesítési szolgáltatás (APNs) segítségével tartják fenn a folyamatos kommunikációt az Apple-eszközökkel a nyilvános és privát hálózatokon keresztül. Az APNs-nek köszönhetően az Apple-eszközök értesülnek a frissítésekről, az eszközfelügyeleti szolgáltatás szabályzatairól és a beérkező üzenetekről. Az eszközfelügyeleti szolgáltatások több tanúsítványt igényelnek, többek között egy APNs-tanúsítványt az eszközökkel történő kommunikációhoz, egy SSL-tanúsítványt a biztonságos kommunikációhoz és egy tanúsítványt a konfigurációs profilok aláírásához.
Ha azt szeretné, hogy az Apple-eszközökön működjön az APNs szolgáltatás, engedélyezni szeretné a hálózati forgalmat közvetlenül az eszközökről az Apple hálózatára (17.0.0.0/8) vagy egy hálózati proxy segítségével. Az Apple-eszközöknek képesnek kell lenniük adott portokhoz csatlakozni adott állomásokon:
Az eszköz aktiválása során a 443-as TCP-port van használatban, illetve később is tartalékként, ha az eszköz nem éri el az APNs-t az 5223-as porton
Az 5223-as TCP-port az APNs-sel való kommunikációhoz
A 443-as vagy 2197-es TCP-port az eszközfelügyeleti szolgáltatásból az APNs-nek küldött értesítésekhez
Elképzelhető, hogy a webproxy- vagy a tűzfalportokat is konfigurálnia kell, hogy az összes hálózati forgalom engedélyezett legyen az Apple eszközökről az Apple hálózatára. iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 vagy újabb rendszert futtató eszközökön alatt az APN-ek egy webes proxyt használhatnak, ha az meg van adva egy PAC-fájlban.
Megjegyzés: Az Apple Vision Pro csak akkor képes push-értesítéseket fogadni, ha az eszközt viselik, és fel van oldva.
A végpontoknál és a szervereknél több biztonsági réteg van alkalmazva az APNs szolgáltatásra. A forgalom vizsgálatára vagy átirányítására tett kísérlet esetén a kliens, az APNs és a push-szolgáltató szerverei nem biztonságosként és érvénytelenként jelölik meg a hálózati beszélgetést. Az APNs szolgáltatáson keresztül bizalmas és védett információk nem továbbítódnak.
Tipp: Amikor APNs-tanúsítványt hoz létre eszközfelügyeleti szolgáltatással történő használat céljából, akkor jegyezze fel a felügyelt Apple‑fiókot (ajánlott) vagy az Apple‑fiókot, mert szüksége lesz rá a tanúsítvány megújításához, amit évente meg kell tennie. Ügyeljen arra is, hogy az eszközfelügyeleti szolgáltatás által használt összes tanúsítvány jóval a lejárati idő előtt frissítve legyen. Részletes tudnivalókért látogasson el az Apple Push Certificates portálra.
Push-értesítések beállítására vonatkozó biztonsági fejlesztések
Az eszközfelügyeleti szolgáltatások fejlesztői jelenleg az Apple Push értesítési szolgáltatás (APNs) segítségével hozhatnak létre egy egyszerűsített push-tanúsítvány létrehozási folyamatot az ügyfeleik számára. Ez magában foglalja minden egyes ügyfél esetében egy Tanúsítvány-aláíró kérés (CSR) létrehozását és aláírását. Ezt követően az ügyfelek a biztosított CSR segítségével szerezhetik meg a tanúsítványt az Apple Push Certificates webhelyről.
Az Apple Push Certificates portál a fokozott biztonság érdekében SHA2-algoritmussal történő aláírást igényel a CSR-ek esetében. A továbbiakban SHA1-aláírással rendelkező CSR-ekhez tanúsítványok nem kerülnek kiállításra. A bevált gyakorlatokkal kapcsolatos további információkért tekintse meg az Apple fejlesztői webhely Setting Up Push Notifications fejezetét.