准备好网络环境以满足更严格的安全要求
Apple 操作系统将对系统进程实施更严格的网络安全要求。检查你的服务器连接是不是满足新要求。
这篇文章适用于 IT 管理员和设备管理服务开发者。
最早从下一个主要软件版本开始,Apple 操作系统(iOS、iPadOS、macOS、watchOS、Apple tvOS 和 visionOS)将实施新增的网络安全要求,因此可能会拒绝连接到那些 TLS 配置已过时或不合规的服务器。
你应对环境进行审核,以识别不满足这些要求的服务器。更新服务器配置以满足这些要求可能需要花费大量时间,尤其是对于那些由外部供应商维护的服务器。
受影响的连接和配置要求
新的要求适用于直接参与以下活动的网络连接:
移动设备管理 (MDM)
声明式设备管理 (DDM)
自动设备注册
配置描述文件安装
App 安装,包括企业 App 分发
软件更新
例外:与 SCEP 服务器(安装配置描述文件或解析 DDM 资产时)以及内容缓存服务器(即使在请求与 App 安装或软件更新相关的资产时)的网络连接不受影响。
要求:服务器必须支持 TLS 1.2 或更高版本,使用符合 ATS 标准的加密套件,并提供符合 ATS 标准的有效证书。如需了解完整的网络安全要求,请参考开发者文稿:
审核你的环境以找出不合规连接
使用测试设备来识别环境中不满足新 TLS 要求的服务器连接。
规划你的测试覆盖范围
不同的设备配置可能会连接到不同的服务器。为确保审核覆盖全面,请测试适用于你环境的所有配置。
环境:生产、预发布、测试
设备类型:iPhone、iPad、Mac、Apple Watch、Apple TV、Apple Vision Pro
角色:用户组(销售、工程、会计)、自助服务终端设备、共享设备
注册类型:自动设备注册、账户驱动型注册、描述文件驱动型设备注册、共享 iPad
对于连接到不同服务器的每种配置,请重复以下审核步骤。
安装网络诊断日志记录描述文件
在一台运行 iOS 26.4、iPadOS 26.4、macOS 26.4、watchOS 26.4、Apple tvOS 26.4 或 visionOS 26.4 或更高版本的代表性测试设备上,下载并安装网络诊断日志记录描述文件,以启用日志记录。安装这个描述文件后,重新启动你的测试设备。
为确保日志事件包含识别不合规连接所需的详细信息,必须在进行任何测试之前安装这个描述文件。如果你正在 iPhone 或 iPad 上测试自动设备注册,请使用 Mac 版 Apple Configurator 在设备进入“设置助理”中的“设备管理”面板之前,安装这个描述文件。
完成常规工作流程
像往常一样在你的环境中使用测试设备。在设备管理中注册这台设备,安装 App 和描述文件,并完成任何其他需要连接到组织服务器的工作流程。
目的是生成网络流量,以覆盖所有可能受新 TLS 要求影响的服务器。
收集 sysdiagnose
完成工作流程后,从测试设备收集 sysdiagnose。这个诊断归档包含用于识别不合规连接的日志事件。
查看日志
将 sysdiagnose 传输到 Mac,然后解压 .tar.gz 文件。使用“终端”,前往已解压的 sysdiagnose 的顶层目录,并使用以下命令筛选相关的日志事件:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
每个日志事件都包含三项关键详情:
域名:这个连接事件的服务器域名。
进程:建立这个连接的进程,有助于你确定与这个域名建立网络连接的目的。
警告:连接违反的限制条件,以及服务器不合规的具体表现(如果服务器不满足多个要求,单个连接可能会发出多个警告)。
解读警告日志
以下日志信息指示了不满足新 TLS 要求的服务器。违规被标记为常规 ATS 策略违规(“Warning [ATS Violation]”)或特定 FCP v2.1 标准违规(“Warning [ATS FCPv2.1 violation]”)。
如果这些日志是由连接到企业专用服务器的进程发出的,则必须更新这些服务器以满足新要求。
日志信息 | 含义 | 补救措施 |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | 服务器协商了一个非 PFS 加密套件,而当客户端强制实施 ATS 时是不会提供这类套件的。 | 服务器必须支持 PFS 加密套件(所有 TLS 1.3 加密套件,以及带有 ECDHE 的 TLS 1.2 加密套件)。 |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | 服务器协商的 TLS 版本低于 TLS 1.2。 TLS 1.0/1.1 已弃用,默认情况下不再提供。 | 更新服务器,以尽可能协商 TLS 1.3(最低版本为 TLS 1.2)。 |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | 服务器的证书未通过默认服务器信任评估,因为它不满足这里概述的最低要求。 | 更新服务器的证书以满足这些要求。 如果这个证书包含在自动注册描述文件的锚点证书中,则无需补救。 |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | 服务器的证书是使用小于 2048 位的 RSA 密钥进行签名的。 | 更新服务器的证书以满足这些要求。 |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | 服务器的证书是使用小于 256 位的 ECDSA 密钥进行签名的。 | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | 服务器的证书没有使用摘要长度至少为 256 位的安全哈希算法 2 (SHA-2)。 | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | 使用了明文 HTTP 而非 HTTPS。 | 更新服务器以支持 HTTPS。 |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | 服务器选择了 rsa_pkcs15_sha1 作为签名算法。 | 更新配置以优先使用现代签名算法。 |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | 服务器的证书是使用在 ClientHello 中未声明的签名算法进行签名的。 | 更新服务器的证书,使其使用具有 TLS 代码点且不是 rsa_pkcs15_sha1 的签名算法进行签名。 |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | 服务器协商了 TLS 1.2,但没有协商扩展主密钥 (EMS) 扩展。 | 更新服务器以使用 TLS 1.3,或者至少更新其 TLS 1.2 配置以协商 EMS。 |
验证各个服务器
在审核中识别出不合规服务器后,可以对它们进行单独测试,以验证具体的违规情况或确认补救措施是否成功。
运行以下命令,将“https://example.com:8000”替换为你的服务器或端点。
nscurl --ats-diagnostics https://example.com:8000/
这个命令用于测试服务器是不是满足不同 ATS 策略组合的各项要求。查找在启用了 FCP_v2.1 模式的情况下,使用 ATS 进行测试所得到的结果:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
如果结果为“PASS”,则表明服务器满足所有要求。
补救措施
与受影响服务器的所有者协作,以更新其 TLS 配置。服务器所有者可能是内部人员、你的设备管理服务或第三方供应商。
联系服务器所有者进行补救时,请分享这篇文章以及你观察到的具体警告信息。
补救措施可能包括以下几项:
更新服务器,以支持 TLS 1.2 或更高版本(建议使用 TLS 1.3)
对于仅支持 TLS 1.2 的服务器,必须至少支持以下内容:提供完全正向保密 (ECDHE) 的密钥交换算法、基于 AES-GCM 且搭配 SHA-256、SHA-384 或 SHA-512 的 AEAD 密码套件,以及扩展主密钥扩展 (RFC 7627)。
更新证书,以满足 ATS 对密钥大小、签名算法和有效期的要求。
其他资源
如需进一步协助,请联系你的客户成功经理或 AppleCare 企业级支持。