本文旨在供企業和教育機構網絡管理員參考。
Apple 產品需要連接本文所列的互聯網主機,方能提供各種服務。以下說明裝置如何連接主機和配合代理伺服器運作:
- 以下主機的網絡連線由裝置而非 Apple 操作的主機發起。
- Apple 服務會拒絕任何採用 HTTPS 截擊 (SSL 檢查) 的連線。如果 HTTPS 流量橫越網頁代理伺服器,請為本文所列的主機停用 HTTPS 截擊功能。
請確保你的 Apple 裝置可取用下列主機。
Apple 推送通知
了解如何解決 Apple 推送通知服務 (APNs) 的連線問題。對於透過 HTTP 代理伺服器傳送所有流量的裝置,你可以手動在裝置上或使用設定描述檔設置代理伺服器。如果裝置以代理伺服器自動設定檔 (PAC) 設置使用 HTTP 代理伺服器,將無法連接 APNs。
裝置設定
設定裝置或者安裝、更新或回復作業系統時,你可能需要取用以下主機。
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| captive.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 為採用限制網絡門戶網頁的網絡驗證互聯網連線。 | 是 |
| gs.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| humb.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 | |
| static.ips.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 是 | |
| tbsc.apple.com | 443 | TCP | 只限 macOS | 是 | |
| time-ios.apple.com | 123 | UDP | 僅限 iOS 和 tvOS | 讓裝置用於設定日期和時間 | — |
| time.apple.com | 123 | UDP | iOS、tvOS 和 macOS | 讓裝置用於設定日期和時間 | — |
| time-macos.apple.com | 123 | UDP | 只限 macOS | 讓裝置用於設定日期和時間 | — |
裝置管理
已登記「流動裝置管理」(MDM) 的裝置可能需要以下主機網絡連線:
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS、tvOS 和 macOS | 推送通知 | 進一步了解 APNs 和代理伺服器。 |
| gdmf.apple.com | 443 | TCP | iOS、tvOS 和 macOS | MDM 伺服器會找出採用受管理軟件更新的裝置有哪些可用軟件更新。 | 是 |
| deviceenrollment.apple.com | 443 | TCP | iOS、tvOS 和 macOS | DEP 臨時登記。 | — |
| deviceservices-external.apple.com | 443 | TCP | iOS、tvOS 和 macOS | — | |
| identity.apple.com | 443 | TCP | iOS、tvOS 和 macOS | APNs 證書申請入門網頁。 | 是 |
| iprofiles.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 裝置透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 時所用的主機登記描述檔 | 是 |
| mdmenrollment.apple.com | 443 | TCP | iOS、tvOS 和 macOS | MDM 伺服器會上載透過「裝置登記計劃」登記 Apple School Manager 或 Apple Business Manager 的用戶端所用的登記描述檔,以及尋找裝置和帳戶。 | 是 |
| vpp.itunes.apple.com | 443 | TCP | iOS、tvOS 和 macOS | MDM 伺服器會執行「App 及書籍」相關操作,例如為裝置分配或撤銷授權。 | 是 |
軟件更新
確保你能取用以下傳輸埠,以更新 macOS、來自 Mac App Store 的 app 及使用內容快取。
macOS、iOS 和 tvOS
安裝、回復和更新 macOS、iOS 及 tvOS 時,必須配合以下主機名稱的網絡連線:
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | 只限 iOS | iOS 更新 | — |
| gg.apple.com | 443, 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| gnf-mdn.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| gnf-mr.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| gs.apple.com | 443, 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| ig.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | 是 |
| mesu.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 管理軟件更新目錄 | — |
| ns.itunes.apple.com | 443 | TCP | 只限 iOS | 是 | |
| oscdn.apple.com | 443, 80 | TCP | 只限 macOS | macOS 還原 | — |
| osrecovery.apple.com | 443, 80 | TCP | 只限 macOS | macOS 還原 | — |
| skl.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| swcdn.apple.com | 80 | TCP | 只限 macOS | macOS 更新 | — |
| swdist.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| swdownload.apple.com | 443, 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| swpost.apple.com | 80 | TCP | 只限 macOS | macOS 更新 | 是 |
| swscan.apple.com | 443 | TCP | 只限 macOS | macOS 更新 | — |
| updates-http.cdn-apple.com | 80 | TCP | iOS、tvOS 和 macOS | — | |
| updates.apple.com | 443 | TCP | iOS、tvOS 和 macOS | — | |
| updates.cdn-apple.com | 443 | TCP | iOS、tvOS 和 macOS | — | |
| xp.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 是 |
App Store
更新 app 時可能需要取用以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | 是 |
| *.apps.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | 是 |
| *.mzstatic.com | 443 | TCP | iOS、tvOS 和 macOS | 商店內容,例如 app、書籍和音樂 | — |
| itunes.apple.com | 443, 80 | TCP | iOS、tvOS 和 macOS | 是 | |
| ppq.apple.com | 443 | TCP | iOS、tvOS 和 macOS | 驗證企業 App | — |
內容快取
採用 macOS 內容快取的 Mac 必須取用以下主機:
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | 只限 macOS | 註冊內容快取伺服器 | 是 |
證書驗證
Apple 裝置必須能連接以下主機,才能驗證上述主機所用的數碼證書:
| 主機 | 傳輸埠 | 通訊協定 | 作業系統 | 說明 | 支援代理伺服器 |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl.entrust.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl3.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| crl4.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.apple.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.digicert.com | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.entrust.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
| ocsp.verisign.net | 80 | TCP | iOS、tvOS 和 macOS | 證書驗證 | — |
防火牆
如果你的防火牆支援使用主機名稱,你或可透過允許輸出連線至 *.apple.com,使用上述大部分 Apple 服務。如果你的防火牆只能設定 IP 位址,則請允許輸出連線至 17.0.0.0/8。整個 17.0.0.0/8 位址區塊均已分配給 Apple。
HTTP 代理伺服器
如果你為所列主機的輸入和輸出流量停用封包檢查及認證,便可透過代理伺服器使用 Apple 服務。例外情況請見上文。為保障平台安全和使用者私隱,如嘗試檢查 Apple 裝置和服務之間的加密通訊內容,連線將會中斷。