本文适用于企业和教育机构的网络管理员。
Apple 产品需要访问本文列出的互联网主机,才能使用各种服务。下面描述了您的设备如何连接到主机并使用代理:
- 设备(而不是由 Apple 运营的主机)向下面列出的主机发起网络连接。
- Apple 服务将中断任何使用 HTTPS 拦截(SSL 检查)的连接。如果 HTTPS 流量遍历某个网页代理,请对本文列出的主机停用 HTTPS 拦截。
确保您的 Apple 设备可以访问下面列出的主机。
Apple 推送通知
了解如何对 Apple 推送通知服务 (APNS) 的连接问题进行故障诊断。对于通过 HTTP 代理发送所有流量的设备,您可以在设备上手动配置这个代理,也可以使用配置描述文件进行配置。如果设备配置为通过代理自动配置 (PAC) 文件来使用 HTTP 代理,则 APNS 连接将失败。
设备设置
在设置您的设备或者安装、更新或恢复操作系统时,可能需要访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 是 | |
| captive.apple.com | 443、80 | TCP | iOS、Apple TVOS 和 macOS | 针对使用强制门户网站的网络进行互联网连接验证。 | 是 |
| gs.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 是 | |
| time-ios.apple.com | 123 | UDP | 仅限 iOS | 供设备用来设置日期和时间 | 否 |
| time.apple.com | 123 | UDP | iOS、Apple TVOS 和 macOS | 供设备用来设置日期和时间 | 否 |
| time-macos.apple.com | 123 | UDP | 仅限 macOS | 供设备用来设置日期和时间 | 否 |
设备管理
对于已注册移动设备管理 (MDM) 的设备,可能需要通过网络来访问以下主机:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| *.push.apple.com | 443、80、5223、2197 | TCP | iOS、Apple TVOS 和 macOS | 推送通知 | 进一步了解 APNS 和代理。 |
| gdmf.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | MDM 服务器,用于识别使用被管理软件更新的设备有哪些可用的软件更新。 | 是 |
| deviceenrollment.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | DEP 暂时注册。 | — |
| deviceservices-external.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | — | |
| identity.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | APNS 证书请求门户。 | 是 |
| iprofiles.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 当设备注册 Apple 校园教务管理或 Apple 商务管理时使用的主机注册描述文件 | 是 |
| mdmenrollment.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | MDM 服务器,用于上传通过 Apple 校园教务管理或 Apple 商务管理中的设备注册计划进行注册的客户端所使用的注册描述文件,以及查找设备和帐户。 | 是 |
| vpp.itunes.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | MDM 服务器,用于执行与“App 和图书”有关的操作,例如在设备上分配或撤消许可证。 | 是 |
软件更新
确保您可以访问以下用于更新 macOS、Mac App Store 中的应用以及使用内容缓存的端口。
macOS、iOS 和 Apple TVOS
安装、恢复以及更新 macOS、iOS 和 Apple TVOS 时需要通过网络访问以下主机名:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | 仅限 iOS | iOS 更新 | 否 |
| gg.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
| gnf-mdn.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| gnf-mr.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| gs.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
| ig.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| mesu.apple.com | 443、80 | TCP | iOS、Apple TVOS 和 macOS | 主机软件更新目录 | 否 |
| ns.itunes.apple.com | 443 | TCP | 仅限 iOS | 是 | |
| oscdn.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | 否 |
| osrecovery.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | 否 |
| skl.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
| swcdn.apple.com | 80 | TCP | 仅限 macOS | macOS 更新 | 否 |
| swdist.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 否 |
| swdownload.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
| swpost.apple.com | 80 | TCP | 仅限 macOS | macOS 更新 | 是 |
| swscan.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 否 |
| updates-http.cdn-apple.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 否 | |
| updates.cdn-apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 否 | |
| xp.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 是 |
App Store
更新应用时可能需要访问以下主机:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443、80 | TCP | iOS、Apple TVOS 和 macOS | 储存应用、图书和音乐等内容 | 是 |
| *.apps.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 储存应用、图书和音乐等内容 | 是 |
| *.mzstatic.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 储存应用、图书和音乐等内容 | — |
| itunes.apple.com | 443、80 | TCP | iOS、Apple TVOS 和 macOS | 是 | |
| ppq.apple.com | 443 | TCP | iOS、Apple TVOS 和 macOS | 企业级应用验证 | — |
内容缓存
使用 macOS 内容缓存的 Mac 需要访问以下主机:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | 仅限 macOS | 内容缓存服务器注册 | 是 |
App 公证
从 macOS 10.14.5 开始,软件需完成公证检查,然后才能运行。要成功完成这项检查,Mac 必须能够访问“Customizing the Notarization Workflow”(自定公证工作流程)的“Ensure Your Build Server Has Network Access”(确保您的构建服务器可以访问网络)部分中列出的那些主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | 仅限 macOS | 票据交付 | — |
| 17.250.64.0/18 | 443 | TCP | 仅限 macOS | 票据交付 | — |
| 17.248.192.0/19 | 443 | TCP | 仅限 macOS | 票据交付 | — |
证书验证
Apple 设备必须能够连接到以下主机,以便验证上面列出的主机所使用的数字证书:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| crl.entrust.net | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| crl3.digicert.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| crl4.digicert.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| ocsp.apple.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| ocsp.digicert.com | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| ocsp.entrust.net | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
| ocsp.verisign.net | 80 | TCP | iOS、Apple TVOS 和 macOS | 证书验证 | — |
防火墙
如果您的防火墙支持使用主机名,那么通过允许出站连接到 *.apple.com,您或许能够使用上面的大多数 Apple 服务。如果您的防火墙只能配置为使用 IP 地址,请允许出站连接到 17.0.0.0/8。整个 17.0.0.0/8 地址块已分配给 Apple。
HTTP 代理
如果您针对列出的主机收到和发出的流量停用数据包检查和鉴定,则可以通过代理使用 Apple 服务。这方面的例外情况已在上文中注明。尝试对 Apple 设备与服务之间的加密通信执行内容检查会导致连接中断,以保护平台安全性和用户隐私。