Skip to content

APNs 证书管理

Apple 推送通知服务(APNs)证书是 MDM 通信的基础。它使 GuardMDM 能够向已注册设备发送命令、安装配置文件和推送更新。

证书生命周期

阶段描述时长
创建从 Apple Developer 账户生成约 10 分钟
有效用于所有推送通知1 年
续期在到期前续期约 5 分钟
过期证书过期,推送停止立即生效

查看证书状态

  1. 前往 设置 > APNs 证书
  2. 状态页面显示:
    • 状态: 有效、即将过期或已过期
    • 颁发日期: 证书创建日期
    • 到期日期: 到期日期
    • 主题: 证书上的组织名称
    • 指纹: 用于验证的 SHA-1 哈希值

状态指示

  • 有效(绿色)— 证书处于活动状态且正常工作
  • 即将过期(黄色)— 剩余不到 30 天
  • 已过期(红色)— 证书已过期,推送功能中断

续期证书

请在到期前至少 30 天开始续期,以避免服务中断。

  1. 前往 设置 > APNs 证书
  2. 点击 续期
  3. 下载证书签名请求(CSR)
  4. 前往 Apple 推送证书门户
  5. 使用您的组织 Apple ID 登录
  6. 选择现有证书并点击 续期
  7. 上传 CSR
  8. 下载续期后的证书
  9. 返回 GuardMDM 并上传续期后的证书
  10. 确认状态显示为 有效

续期不会更改证书的主题或主题标识(Topic)——仅延长到期日期。设备无需重新注册。

替换证书

在更换 Apple ID、组织或发生安全事件后,需要替换证书。

  1. 前往 设置 > APNs 证书
  2. 点击 替换
  3. 下载 CSR
  4. 前往 Apple 推送证书门户
  5. 使用 CSR 创建新证书
  6. 下载新证书
  7. 上传至 GuardMDM
  8. 确认新证书已生效

替换证书会创建新的主题标识(Topic)。在旧证书下注册的设备将停止接收推送通知。您可能需要重新注册受影响的设备。

多个 APNs 证书

GuardMDM 支持多个 APNs 证书,适用于:

  • 多租户环境 — 每个组织使用自己的证书
  • 预发布环境与生产环境 — 测试环境和线上环境使用不同的证书
  • 合并与收购 — 在过渡期间保持旧证书有效

管理多个证书

  1. 前往 设置 > APNs 证书
  2. 所有已上传的证书及其状态都会列出
  3. 活动证书用于推送通知
  4. 可随时切换活动证书
  5. 已过期或已替换的证书可以移除

证书到期监控

仪表盘提醒

  • 当证书距离到期不足 30 天时,仪表盘上会显示横幅提示
  • APNs 证书页面会显示每个证书的倒计时
  • 已过期的证书会触发严重警报

邮件通知

配置通知接收人:

  1. 前往 设置 > 通知
  2. 证书提醒 下,添加电子邮件地址
  3. 选择提醒阈值:
    • 到期前 30 天(警告)
    • 到期前 14 天(提醒)
    • 到期前 7 天(紧急)
    • 到期时(严重)

Webhook 提醒

用于与监控系统集成:

  1. 前往 设置 > Webhooks
  2. 添加 Webhook URL
  3. 选择 证书到期 事件
  4. GuardMDM 会发送包含证书详情的 POST 请求

证书过期后的影响

  • 已注册的设备仍保持注册状态
  • 新的推送命令无法送达
  • 设备签入(设备发起的通信)仍可正常工作
  • 策略更新、远程擦除和锁定命令停止工作
  • 用户会看到"未受管理"或无法访问受管理的应用

解决方法: 续期证书并上传。推送功能立即恢复。

APNs 证书过期 = MDM 系统瘫痪

APNs 证书是 GuardMDM 的"生命线"。一旦过期,整个 MDM 系统将陷入瘫痪:

功能过期前过期后
远程锁定/擦除✅ 正常❌ 完全失效
配置推送✅ 正常❌ 无法推送
应用安装✅ 正常❌ 无法安装
设备注册✅ 正常❌ 新设备无法注册
丢失模式✅ 正常❌ 无法启用
设备状态✅ 正常❌ 显示离线

恢复: 续期证书后立即恢复,但过期期间积压的命令不会自动补发

预防:

  • 在证书到期前 60 天 设置日历提醒
  • 配置邮件通知给所有管理员
  • 确保创建证书的 Apple ID 始终可访问
  • 每周检查证书状态

最佳实践

  • ✅ 在到期前 60 天设置日历提醒
  • ✅ 为所有管理员配置邮件提醒
  • ✅ 保持用于创建证书的 Apple ID 可访问
  • ✅ 先在预发布环境中测试续期流程
  • ✅ 每周监控证书状态
  • ❌ 不要等到最后一周才续期
  • ❌ 在新证书验证通过之前,不要删除旧证书
  • ❌ 不要在不相关的组织之间共享 Apple ID

下一步: 设备注册方法

基于 MIT 许可证发布