Apparaten configureren voor gebruik van APNs
Voorzieningen voor apparaatbeheer gebruiken de Apple Push Notification-service (APNs) om permanente communicatie met Apple apparaten te waarborgen in zowel openbare als privénetwerken. Via APNs worden Apple apparaten op de hoogte gesteld van updates, beleidsregels voor de voorziening voor apparaatbeheer en inkomende berichten. Voor voorzieningen voor apparaatbeheer zijn meerdere certificaten vereist, waaronder een APNs-certificaat voor de communicatie met apparaten, een SSL-certificaat voor de beveiliging van de communicatie en nog een certificaat voor het ondertekenen van configuratieprofielen.
Apple apparaten kunnen APNs gebruiken als je netwerkverkeer tussen de apparaten en het netwerk van Apple (17.0.0.0/8) rechtstreeks of via een netwerkproxy toestaat. Apple apparaten moeten verbinding kunnen maken met specifieke poorten op specifieke hosts:
TCP-poort 443 tijdens het activeren van apparaten en daarna als alternatief wanneer apparaten APNs niet kunnen bereiken op poort 5223
TCP-poort 5223 om te communiceren met APNs
TCP-poort 443 of 2197 om meldingen van de voorziening voor apparaatbeheer naar APNs te versturen
Het kan zijn dat je ook de configuratie van je webproxy of firewallpoorten moet aanpassen, zodat al het netwerkverkeer dat van Apple apparaten afkomstig is, toegang heeft tot het netwerk van Apple. Op apparaten met iOS 13.4, iPadOS 13.4, macOS 10.15.4, tvOS 13.4 of nieuwer kan voor APNs een webproxy worden gebruikt als deze in een PAC-bestand (Proxy Auto-Config) is opgegeven.
Opmerking: Een Apple Vision Pro kan alleen pushmeldingen ontvangen wanneer het apparaat gedragen wordt en ontgrendeld is.
Op de eindpunten en de servers worden meerdere beveiligingslagen op de APNs toegepast. Elke poging om inzage in het verkeer te krijgen of om het verkeer om te leiden, wordt door de client, de APNs en de pushproviderservers aangemerkt als dubieus en ongeldig. Via APNs worden geen vertrouwelijke of bedrijfseigen gegevens verstuurd.
Tip: Noteer de beheerde Apple Account (aanbevolen) of Apple Account die je gebruikt bij het aanmaken van APNs-certificaten voor gebruik met een voorziening voor apparaatbeheer. Je hebt deze later nodig voor het verlengen van de certificaten, iets wat jaarlijks moet gebeuren. Stel daarnaast een schema op om alle certificaten die je voorziening voor apparaatbeheer gebruikt, ruim voordat ze verlopen bij te werken. Ga naar de Apple Push Certificates Portal voor meer informatie.
Verbeterde beveiliging voor het configureren van pushmeldingen
Ontwikkelaars van een voorziening voor apparaatbeheer kunnen de Apple Push Notification-service (APNs) gebruiken om een gestroomlijnd proces op te zetten voor het aanmaken van pushcertificaten voor hun klanten. Hierbij wordt een certificaatondertekeningsaanvraag (CSR) voor elke klant aangemaakt en ondertekend. Vervolgens kan de klant de verstrekte certificaatondertekeningsaanvraag gebruiken om een certificaat aan te vragen via de Apple Push Certificates Portal.
Voor betere beveiliging moeten certificaatondertekeningsaanvragen voor de Apple Push Certificates Portal worden ondertekend met het SHA2-algoritme. Er worden dan geen certificaten meer verstrekt voor aanvragen die zijn ondertekend met SHA1. Zie Setting Up Push Notifications op de Apple Developer-website voor meer informatie over aanbevolen procedures (Engelstalig).