APNs 证书管理
Apple 推送通知服务(APNs)证书是 MDM 通信的基础。它使 GuardMDM 能够向已注册设备发送命令、安装配置文件和推送更新。
证书生命周期
| 阶段 | 描述 | 时长 |
|---|---|---|
| 创建 | 从 Apple Developer 账户生成 | 约 10 分钟 |
| 有效 | 用于所有推送通知 | 1 年 |
| 续期 | 在到期前续期 | 约 5 分钟 |
| 过期 | 证书过期,推送停止 | 立即生效 |
查看证书状态
- 前往 设置 > APNs 证书
- 状态页面显示:
- 状态: 有效、即将过期或已过期
- 颁发日期: 证书创建日期
- 到期日期: 到期日期
- 主题: 证书上的组织名称
- 指纹: 用于验证的 SHA-1 哈希值
状态指示
- 有效(绿色)— 证书处于活动状态且正常工作
- 即将过期(黄色)— 剩余不到 30 天
- 已过期(红色)— 证书已过期,推送功能中断
续期证书
请在到期前至少 30 天开始续期,以避免服务中断。
- 前往 设置 > APNs 证书
- 点击 续期
- 下载证书签名请求(CSR)
- 前往 Apple 推送证书门户
- 使用您的组织 Apple ID 登录
- 选择现有证书并点击 续期
- 上传 CSR
- 下载续期后的证书
- 返回 GuardMDM 并上传续期后的证书
- 确认状态显示为 有效
续期不会更改证书的主题或主题标识(Topic)——仅延长到期日期。设备无需重新注册。
替换证书
在更换 Apple ID、组织或发生安全事件后,需要替换证书。
- 前往 设置 > APNs 证书
- 点击 替换
- 下载 CSR
- 前往 Apple 推送证书门户
- 使用 CSR 创建新证书
- 下载新证书
- 上传至 GuardMDM
- 确认新证书已生效
替换证书会创建新的主题标识(Topic)。在旧证书下注册的设备将停止接收推送通知。您可能需要重新注册受影响的设备。
多个 APNs 证书
GuardMDM 支持多个 APNs 证书,适用于:
- 多租户环境 — 每个组织使用自己的证书
- 预发布环境与生产环境 — 测试环境和线上环境使用不同的证书
- 合并与收购 — 在过渡期间保持旧证书有效
管理多个证书
- 前往 设置 > APNs 证书
- 所有已上传的证书及其状态都会列出
- 活动证书用于推送通知
- 可随时切换活动证书
- 已过期或已替换的证书可以移除
证书到期监控
仪表盘提醒
- 当证书距离到期不足 30 天时,仪表盘上会显示横幅提示
- APNs 证书页面会显示每个证书的倒计时
- 已过期的证书会触发严重警报
邮件通知
配置通知接收人:
- 前往 设置 > 通知
- 在 证书提醒 下,添加电子邮件地址
- 选择提醒阈值:
- 到期前 30 天(警告)
- 到期前 14 天(提醒)
- 到期前 7 天(紧急)
- 到期时(严重)
Webhook 提醒
用于与监控系统集成:
- 前往 设置 > Webhooks
- 添加 Webhook URL
- 选择 证书到期 事件
- GuardMDM 会发送包含证书详情的 POST 请求
证书过期后的影响
- 已注册的设备仍保持注册状态
- 新的推送命令无法送达
- 设备签入(设备发起的通信)仍可正常工作
- 策略更新、远程擦除和锁定命令停止工作
- 用户会看到"未受管理"或无法访问受管理的应用
解决方法: 续期证书并上传。推送功能立即恢复。
APNs 证书过期 = MDM 系统瘫痪
APNs 证书是 GuardMDM 的"生命线"。一旦过期,整个 MDM 系统将陷入瘫痪:
| 功能 | 过期前 | 过期后 |
|---|---|---|
| 远程锁定/擦除 | ✅ 正常 | ❌ 完全失效 |
| 配置推送 | ✅ 正常 | ❌ 无法推送 |
| 应用安装 | ✅ 正常 | ❌ 无法安装 |
| 设备注册 | ✅ 正常 | ❌ 新设备无法注册 |
| 丢失模式 | ✅ 正常 | ❌ 无法启用 |
| 设备状态 | ✅ 正常 | ❌ 显示离线 |
恢复: 续期证书后立即恢复,但过期期间积压的命令不会自动补发。
预防:
- 在证书到期前 60 天 设置日历提醒
- 配置邮件通知给所有管理员
- 确保创建证书的 Apple ID 始终可访问
- 每周检查证书状态
最佳实践
- ✅ 在到期前 60 天设置日历提醒
- ✅ 为所有管理员配置邮件提醒
- ✅ 保持用于创建证书的 Apple ID 可访问
- ✅ 先在预发布环境中测试续期流程
- ✅ 每周监控证书状态
- ❌ 不要等到最后一周才续期
- ❌ 在新证书验证通过之前,不要删除旧证书
- ❌ 不要在不相关的组织之间共享 Apple ID
下一步: 设备注册方法
