Konfigurieren von Geräten für die Zusammenarbeit mit APNS
Lösungen für die Mobilgeräteverwaltung (Mobile Device Management, MDM) verwenden den Apple-Dienst für Push-Benachrichtigungen (APNS), um die kontinuierliche Kommunikation mit Apple-Geräten in öffentlichen und privaten Netzwerken aufrechtzuerhalten. Durch die Verwendung von APNs werden Apple-Geräte über Aktualisierungen, MDM-Richtlinien und eingehende Nachrichten informiert. MDM-Lösungen erfordern mehrere Zertifikate. Dies schließt ein APNS-Zertifikat für die Kommunikation mit Geräten, ein SSL-Zertifikat für die sichere Kommunikation und ein Zertifikat zum Signieren von Konfigurationsprofilen ein.
Damit Apple-Geräte diesen Dienst verwenden können, muss der Netzwerkverkehr von diesen Geräten an Apple (17.0.0.0/8) direkt oder über einen Netzwerk-Proxy zugelassen werden. Apple-Geräte müssen Verbindungen zu spezifischen Ports bestimmter Hosts herstellen können:
Der TCP-Port 443 wird für die Geräteaktivierung und danach als Ausweichoption verwendet, wenn Geräte den APNS auf Port 5223 nicht erreichen können
Der TCP-Port 5223 wird für die Kommunikation mit dem APNS verwendet
Über den TCP-Port 443 oder 2197 werden Mitteilungen von der MDM-Lösung an den APNs gesendet
Möglicherweise müssen auch der Web-Proxy oder die Firewall-Ports so umkonfiguriert werden, dass der gesamte Netzwerkverkehr von Apple-Geräten an das Apple-Netzwerk passieren kann. In iOS 13.4, iPadOS 13.4, macOS 10.15.4 und tvOS 13.4 (oder neuer) können APNs einen Web-Proxy verwenden, wenn sie in einer Proxy-Auto-Config-Datei (PAC) spezifiziert sind.
Hinweis: Die Apple Vision Pro kann nur Push-Mitteilungen erhalten, wenn das Gerät getragen wird und entsperrt ist.
Es werden mehrere Sicherheitsebenen auf APNS an den Endpunkten und Servern verwendet. Wenn versucht wird, den Datenverkehr zu inspizieren oder umzuleiten, markieren APNS und der Push-Anbieter die Netzwerkkonversation als beschädigt und ungültig. Es werden keine vertraulichen oder betriebsinternen Informationen über APNS übertragen.
Tipp: Notiere beim Erstellen von APNS-Zertifikaten für die MDM den verwalteten Apple Account (empfohlen) oder den Apple Account, der verwendet wird. Dieser Account muss beim Erneuern der Zertifikate angegeben werden, was jährlich erfolgen muss. Alle von der MDM-Lösung verwendeten Zertifikate sollten rechtzeitig vor dem Ablaufen aktualisiert werden. Weitere Informationen enthält das Apple Push Certificates Portal.
Sicherheitsverbesserungen für das Einrichten von Push-Mitteilungen für MDM-Kund:innen
Für MDM-Entwicklungen kann derzeit der APN-Dienst (Apple Push Notification) genutzt werden, um für Kund:innen einen optimierten Erstellungsprozess für Push-Zertifikate zu erstellen. Hierbei ist das Erstellen und Signieren von CSRs (Aufforderungen zum Signieren von Zertifikaten) für alle Kund:innen eingeschlossen. Diese können anschließend das übergebene CSR-Objekt nutzen, um ein Zertifikat über das Portal Apple Push Certificates zu erhalten.
Noch in diesem Jahr wird das Portal für Apple-Push-Zertifikate für CSRs die Signierung via SHA2-Algorithmus voraussetzen, um die Sicherheit zu erhöhen. Zertifikate werden für CSRs, die mit SHA1 signiert sind, nicht ausgegeben. Weitere Informationen zu bewährten Verfahren erhältst du unter Setting Up Push Notifications (Push-Mitteilungen einrichten) auf der Developer-Website von Apple.