MDM-системы используют службу push-уведомлений Apple (APN = APNS - Apple Push Notifications), чтобы постоянно поддерживать связь с устройствами Apple через общедоступные и частные сети.
Для работы MDM-сервера требуется множество сертификатов, в том числе APNS-сертификат для связи с устройствами. Например, когда администратор MDM-сервера дистанционно устанавливает какую-либо политику, активирует опцию или запускает команду команду MDM, устройство получает уведомление об этом действии через APNS. При подключении к общественным сетям, устройства могут получать такие уведомления о действиях в любой точке мира.
Большинство сертификатов, в том числе сертификат APN, должны обновляться ежегодно. По истечении срока действия сертификата сервер MDM не сможет связаться с устройствами Apple, пока сертификат не будет обновлен. Поэтому стоит подготовиться к обновлению сертификатов MDM до того, как истечет срок их действия.
Процедура обновления APN-сертификата MDM-сервера
На комьютере Mac запустить программу «Server»:
В боковом меню слева в разделе «Server» выбрать первый пункт, содержащий имя сервера. Перейти на вкладку «Settings», найти блок «Notifications» и нажать кнопку «Edit Apple ID»:
Отобразится информация об используемой учетной записи и сроке действия APNS-сертификата:
26
Можно сменить Apple ID, нажав на кнопку «Change…»:
Можно обновить APNS-сертификат, нажав на кнопку «Renew…»:
После обновления срок действия сертификата будет составлять 1 год с даты обновления:
Процесс первоначального создания APNS-сертификата еще проще, чем его обновление: поставить галочку «Apple Push Notifications (APN)», указать Apple ID и ввести пароль.
Не важно, какую учетную запись Apple ID использовать для создания APNS-сертификата. Главное, чтобы она была использована только один раз для одного сервера (Apple не даст использовать несколько раз).
Служба push-уведомлений Apple
Служба push-уведомлений Apple (APNS) является важной службой, поскольку через нее многие устройства Apple узнают об обновлениях, политиках MDM и входящих сообщениях. Чтобы ваши устройства Apple работали с этими службами, вам необходимо разрешить сетевой трафик с устройства в сеть Apple (17.0.0.0/8) через порт 5223 с запасным портом 443.
Конфиденциальная и личная информация не передаются через APNS. Данный трафик – это защищенный двоичный протокол, специфичный для APNS, и он не может проходить через прокси.
Попытки просмотреть трафик или перенаправить его приведут к тому, что клиент, APNS и серверы пометят сетевой диалог как скомпрометированный и неверный.
В конечных точках и на серверах к APNS применяется многоуровневая безопасность.