Eszközök konfigurálása az APNs használatára
A mobileszköz-menedzsment (MDM) megoldások az Apple Push értesítési szolgáltatás (APNs) segítségével tartják fenn a folyamatos kommunikációt az Apple-eszközökkel a nyilvános és privát hálózatokon keresztül. Az APNs-nek köszönhetően az Apple-eszköz értesül a frissítésekről, az MDM-szabályzatokról és a beérkező üzenetekről. Az MDM-megoldások több tanúsítványt igényelnek, többek között egy APNs-tanúsítványt az eszközökkel történő kommunikációhoz, egy SSL-tanúsítványt a biztonságos kommunikációhoz és egy tanúsítványt a konfigurációs profilok aláírásához.
Ha azt szeretné, hogy az Apple-eszközökön működjön az APNs szolgáltatás, engedélyezni szeretné a hálózati forgalmat közvetlenül az eszközökről az Apple hálózatára (17.0.0.0/8) vagy egy hálózati proxy segítségével. Az Apple eszközöknek képesnek kell lenniük adott portokhoz csatlakozni adott állomásokon:
Az eszköz aktiválása során a 443-as TCP-port van használatban, illetve később is tartalékként, ha az eszköz nem éri el az APNs-t az 5223-as porton
Az 5223-as TCP-port az APNs-sel való kommunikációhoz
A 443-as vagy 2197-es port, az MDM-től az APNs-nek küldött értesítésekhez
Elképzelhető, hogy a webproxy- vagy a tűzfalportokat is konfigurálnia kell, hogy az összes hálózati forgalom engedélyezett legyen az Apple eszközökről az Apple hálózatára. iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 vagy újabb rendszerek alatt az APNs egy webes proxyt használhat, ha az meg van adva egy PAC-fájlban.
Megjegyzés: Az Apple Vision Pro csak akkor képes push-értesítéseket fogadni, ha az eszközt viselik, és fel van oldva.
A végpontoknál és a szervereknél több biztonsági réteg van alkalmazva az APNs szolgáltatásra. A forgalom vizsgálatára vagy átirányítására tett kísérlet esetén a kliens, az APNs és a push-szolgáltató szerverei nem biztonságosként és érvénytelenként jelölik meg a hálózati beszélgetést. Az APNs szolgáltatáson keresztül bizalmas és védett információk nem továbbítódnak.
Tipp: Amikor APNs-tanúsítványt hoz létre MDM-mel történő használat céljából, akkor jegyezze fel a felügyelt Apple‑fiókot (ajánlott) vagy az Apple‑fiókot, mert szüksége lesz rá a tanúsítvány megújításához, amit évente meg kell tennie. Ügyeljen arra is, hogy az MDM-megoldás által használt összes tanúsítvány jóval a lejárati ideje előtt frissítve legyen. Részletes tudnivalókért látogasson el az Apple Push Certificates portálra.
MDM-ügyfelek leküldéses értesítéseinek beállítására vonatkozó biztonsági fejlesztések
Az MDM-fejlesztők jelenleg az Apple Push Notification-szolgáltatás (APNs) segítségével hozhatnak létre egy egyszerűsített push-tanúsítvány létrehozási folyamatot az ügyfeleik számára. Ez magában foglalja minden egyes ügyfél esetében egy Tanúsítvány-aláíró kérés (CSR) létrehozását és aláírását. Ezt követően az ügyfelek a biztosított CSR segítségével szerezhetik meg a tanúsítványt az Apple Push Certificates webhelyről.
Az idei év későbbi szakaszában az Apple Push Certificates webhely a fokozott biztonság érdekében SHA2-algoritmussal történő aláírást fog igényelni a CSR-ek esetében. A továbbiakban SHA1-aláírással rendelkező CSR-ekhez tanúsítványok nem kerülnek kiállításra. A bevált gyakorlatokkal kapcsolatos további információkért tekintse meg az Apple fejlesztői webhely Setting Up Push Notifications fejezetét.