本文适用于企业和教育机构的网络管理员。
Apple 产品需要访问本文列出的互联网主机,才能使用各种服务。下面介绍了您的设备如何连接到主机并使用代理:
- 与下列主机之间的网络连接是由设备(而不是 Apple 运营的主机)发起的。
- Apple 服务将中断任何使用 HTTPS 拦截(SSL 检查)的连接。如果 HTTPS 流量遍历某个网页代理,请对本文列出的主机停用 HTTPS 拦截。
确保您的 Apple 设备可以访问下面列出的主机。
Apple 推送通知
了解如何对 Apple 推送通知服务 (APNs) 的连接问题进行故障诊断。对于通过 HTTP 代理发送所有流量的设备,您可以在设备上手动配置这个代理,也可以使用配置描述文件进行配置。从 macOS 10.15.5 开始,如果将设备配置为通过代理自动配置 (PAC) 文件来使用 HTTP 代理,则设备可以连接到 APNs。
设备设置
在设置您的设备或者安装、更新或恢复操作系统时,可能需要访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 设备激活 | 是 |
| captive.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 针对使用强制门户的网络进行互联网连接验证 | 是 |
| gs.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 | |
| humb.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 | |
| static.ips.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 | |
| sq-device.apple.com | 443 | TCP | iOS 和 iPadOS | eSIM 激活 | — |
| tbsc.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 | |
| time-ios.apple.com | 123 | UDP | iOS、iPadOS 和 Apple tvOS | 供设备用来设置日期和时间 | — |
| time.apple.com | 123 | UDP | iOS、iPadOS、Apple tvOS 和 macOS | 供设备用来设置日期和时间 | — |
| time-macos.apple.com | 123 | UDP | 仅限 macOS | 供设备用来设置日期和时间 | — |
设备管理
对于已在移动设备管理 (MDM) 中注册的设备,可能需要通过网络来访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| *.push.apple.com | 443、80、5223、2197 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 推送通知 | 进一步了解 APNS 和代理。 |
| deviceenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 暂时注册 | — |
| deviceservices-external.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | — | |
| gdmf.apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 MDM 服务器用来识别使用“被管理的软件更新”的设备有哪些可用的软件更新 | 是 |
| identity.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | APNs 证书请求门户 | 是 |
| iprofiles.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 托管当设备通过设备注册过程在 Apple 校园教务管理或 Apple 商务管理中注册时使用的注册描述文件 | 是 |
| mdmenrollment.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 当客户端通过设备注册过程在 Apple 校园教务管理或 Apple 商务管理中注册时,供 MDM 服务器用来上传客户端使用的注册描述文件,还可用来查找设备和帐户 | 是 |
| setup.icloud.com | 443 | TCP | iOS 和 iPadOS | 需要在共用的 iPad 上使用管理式 Apple ID 登录 | — |
| vpp.itunes.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 MDM 服务器用来执行与“App 和图书”有关的操作,例如在设备上分配或撤销许可证 | 是 |
Apple 校园教务管理和 Apple 商务管理
要实现 Apple 校园教务管理和 Apple 商务管理的全部功能,需要通过网络访问以下主机以及“App Store”部分中的主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
| *.business.apple.com |
443、80 | TCP | - | Apple 商务管理 | — |
| *.school.apple.com | 443、80 | TCP | - | “课业”花名册服务 | — |
| upload.appleschoolcontent.com | 22 | SSH | - | SFTP 上传 | 是 |
| ws-ee-maidsvc.icloud.com | 443、80 | TCP | - | “课业”花名册服务 | — |
Apple Business Essentials 设备管理
要实现 Apple Business Essentials 设备管理的全部功能,需要通过网络访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| axm-adm-enroll.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | DEP 注册服务器 | — |
| axm-adm-mdm.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | MDM 服务器 | — |
| axm-adm-scep.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | SCEP 服务器 | — |
| axm-app.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | 由 Apple Business Essentials 用于查看和管理 App 和设备 | — |
软件更新
为了更新 macOS、Mac App Store 中的 App 的端口以及使用内容缓存,确保您可以访问以下端口。
macOS、iOS、iPadOS、watchOS 和 Apple tvOS
安装、恢复以及更新 macOS、iOS、iPadOS、watchOS 和 Apple tvOS 时,需要通过网络访问以下主机名称。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS、iPadOS 和 watchOS | iOS、iPadOS 和 watchOS 更新 | — |
| configuration.apple.com | 443 | TCP | 仅限 macOS | Rosetta 2 更新 | — |
| gdmf.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | 软件更新目录 | — |
| gg.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
| gnf-mdn.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| gnf-mr.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| gs.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | iOS、iPadOS、Apple tvOS、watchOS 和 macOS 更新 | 是 |
| ig.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | 是 |
| mesu.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS、watchOS 和 macOS | 托管软件更新目录 | — |
| ns.itunes.apple.com | 443 | TCP | iOS、iPadOS 和 watchOS | 是 | |
| oscdn.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | — |
| osrecovery.apple.com | 443、80 | TCP | 仅限 macOS | macOS 恢复 | — |
| skl.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
| swcdn.apple.com | 80 | TCP | 仅限 macOS | macOS 更新 | — |
| swdist.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
| swdownload.apple.com | 443、80 | TCP | 仅限 macOS | macOS 更新 | 是 |
| swscan.apple.com | 443 | TCP | 仅限 macOS | macOS 更新 | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 软件更新下载 | — |
| updates.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 软件更新下载 | — |
| xp.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 |
App Store
更新 App 时可能需要访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | 是 |
| *.apps.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | 是 |
| *.mzstatic.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 商店内容,如 App、图书和音乐 | — |
| itunes.apple.com | 443、80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 是 | |
| ppq.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 企业 App 验证 | — |
运营商更新
蜂窝网络设备必须能够连接到以下主机才能安装运营商捆绑包更新。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
| appldnld.apple.com.edgesuite.net | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
| itunes.com | 80 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
| itunes.apple.com | 443 | TCP | iOS 和 iPadOS | 运营商捆绑包更新发现 | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
| updates.cdn-apple.com | 443 | TCP | iOS 和 iPadOS | 蜂窝网络运营商捆绑包更新 | — |
内容缓存
提供内容缓存的 Mac 必须能够连接到以下主机,以及这篇文稿中列出的提供 Apple 内容的主机,例如软件更新、App 和其他内容。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | 仅限 macOS | 服务器注册 | 是 |
| suconfig.apple.com | 80 | TCP | 仅限 macOS |
配置 | — |
| xp-cdn.apple.com | 443 | TCP | 仅限 macOS | 举报 | 是 |
macOS 内容缓存的客户端必须能够连接到以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| lcdn-locator.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 内容缓存查找器服务 | — |
| serverstatus.apple.com |
443 | TCP | 仅限 macOS | 内容缓存客户端公共 IP 确定 | — |
Apple Developer
进行 App 公证和 App 验证需要访问以下主机。
App 公证
从 macOS 10.14.5 开始,软件需通过公证检查,然后才能运行。要通过这项检查,Mac 必须能够访问“Customizing the Notarization Workflow”(自定公证工作流程)的“Ensure Your Build Server Has Network Access”(确保您的构建服务器可以访问网络)部分中列出的主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | 仅限 macOS | 票据传送 | — |
| 17.250.64.0/18 | 443 | TCP | 仅限 macOS | 票据传送 | — |
| 17.248.192.0/19 | 443 | TCP | 仅限 macOS | 票据传送 | — |
App 验证
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
| *.appattest.apple.com | 443 | TCP | iOS、iPadOS 和 macOS | App 验证,以及网站触控 ID 和面容 ID 认证 | — |
反馈助理
“反馈助理”是一款供开发者和 Beta 版软件计划成员用来向 Apple 报告反馈的 App。它使用以下主机:
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
| bpapi.apple.com | 443 | TCP | 仅限 Apple tvOS | 提供 Beta 版软件更新 | 是 |
| cssubmissions.apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供“反馈助理”用来上传文件 |
是 |
| fba.apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
供“反馈助理”用来归档和查看反馈 |
是 |
Apple 诊断
为了运行用于检测潜在硬件问题的诊断程序,Apple 设备可能会访问以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
| diagassets.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 供 Apple 设备用来协助检测可能的硬件问题 | 是 |
域名系统解析
为了在 iOS 14、Apple tvOS 14 和 macOS Big Sur 中使用加密域名系统 (DNS) 解析,需要与以下主机进行通信。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
| doh.dns.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 用于 DNS over HTTPS (DoH) | 是 |
证书验证
为了验证这篇文章列出的主机所使用的数字证书,Apple 设备必须能够连接到以下主机。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| certs.apple.com | 80、443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| crl.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| crl.entrust.net | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| crl3.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| crl4.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| ocsp.apple.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| ocsp.digicert.cn | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 中国大陆的证书验证 | — |
| ocsp.digicert.com | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| ocsp.entrust.net | 80 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| ocsp2.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | — |
| valid.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 证书验证 | 是 |
Apple ID
Apple 设备必须能够连接到以下主机才能验证 Apple ID。所有使用 Apple ID 的服务(如 iCloud、App 安装和 Xcode)都需要满足这个条件。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| appleid.apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
“设置”和“系统偏好设置”中的 Apple ID 认证 |
是 |
| appleid.cdn-apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
“设置”和“系统偏好设置”中的 Apple ID 认证 |
是 |
| idmsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | Apple ID 认证 | 是 |
| gsa.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | Apple ID 认证 | 是 |
iCloud
除了上面列出的 Apple ID 主机外,Apple 设备必须能够连接到以下域的主机才能使用 iCloud 服务。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| *.apple-cloudkit.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.apple-livephotoskit.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.apzones.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | 中国大陆的 iCloud 服务 | — |
| *.cdn-apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.gc.apple.com |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
iCloud 服务 |
— |
| *.icloud.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.icloud.com.cn |
443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS |
中国大陆的 iCloud 服务 |
— |
| *.icloud.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.icloud-content.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iCloud 服务 | — |
| *.iwork.apple.com | 443 | TCP | iOS、iPadOS、Apple tvOS 和 macOS | iWork 文稿 | — |
| mask.icloud.com | 443 | UDP | iOS、iPadOS、macOS | iCloud 专用代理 | — |
| mask-h2.icloud.com | 443 | TCP | iOS、iPadOS、macOS | iCloud 专用代理 | — |
| mask-api.icloud.com | 443 | TCP | iOS、iPadOS、macOS | iCloud 专用代理 | 是 |
附加内容
Apple 设备必须能够连接到以下主机才能下载附加内容。一些附加内容也可能托管在第三方内容分发网络上。
| 主机 | 端口 | 协议 | OS | 描述 | 支持代理 |
|---|---|---|---|---|---|
| audiocontentdownload.apple.com | 80、443 | TCP | iOS、iPadOS 和 macOS | “库乐队”可下载的内容 | — |
| devimages-cdn.apple.com |
80、443 | TCP | 仅限 macOS | Xcode 可下载的组件 | — |
| download.developer.apple.com | 80、443 | TCP | 仅限 macOS | Xcode 可下载的组件 | — |
| playgrounds-assets-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
| playgrounds-cdn.apple.com | 443 | TCP | iPadOS 和 macOS | Swift Playgrounds | — |
| sylvan.apple.com |
80、443 | TCP | 仅限 Apple tvOS |
Apple TV 屏幕保护程序 |
— |
防火墙
如果您的防火墙支持使用主机名称,那么通过允许出站连接到 *.apple.com,您或许能够使用以上的大多数 Apple 服务。如果您的防火墙只能使用 IP 地址进行配置,请允许出站连接到 17.0.0.0/8。整个 17.0.0.0/8 地址块都已分配给 Apple。
HTTP 代理
如果您针对列出的主机收到和发出的流量停用数据包检查和认证,则可以通过代理来使用 Apple 服务。例外情况已在上文中注明。尝试对 Apple 设备与服务之间的加密通信执行内容检查会导致连接中断,这是为了保护平台安全和用户隐私。
内容分发网络和 DNS 解析
本文中列出的一些主机可能在 DNS 中拥有 CNAME 记录,而不是 A 或 AAAA 记录。在最终解析为 IP 地址之前,这些 CNAME 记录可能会引用链中的其他 CNAME 记录。通过这种 DNS 解析,Apple 能够向所有地区的用户提供快速可靠的内容分发,并对设备和代理服务器保持透明。Apple 不会发布这些 CNAME 记录的列表,因为这些记录可能会发生变化。只要您不阻止 DNS 查找并允许访问上述主机和域,您就不需要配置防火墙或代理服务器来允许这些请求。