设置 APNs 推送证书
什么是 APNs?
APNs(Apple Push Notification service,Apple 推送通知服务)是 Apple 用于向 iOS、iPadOS 和 macOS 设备推送通知的基础设施。在 MDM 的上下文中,APNs 是 GuardMDM 向设备发送命令(如锁定、擦除、安装应用或推送配置描述文件)的通信通道。
没有 APNs,GuardMDM 无法联系到您的设备。设备会向 Apple 的推送服务签到,Apple 再将 GuardMDM 的命令路由到设备。这意味着:
- APNs 是基础 — 没有它,GuardMDM 完全无法与设备通信。
- 每个 MDM 解决方案都需要有效的 APNs 证书才能运行。
- 该证书将您的 GuardMDM 账户与您组织的 Apple 服务绑定在一起。
GuardMDM 如何生成 CSR
在您于 Apple 门户中创建 APNs 证书之前,GuardMDM 会为您生成一个证书签名请求(CSR)。
- 登录您的 GuardMDM 仪表盘。
- 导航至 设置 > APNs 证书。
- 点击生成 CSR。GuardMDM 会创建一个
.csr文件并下载到您的电脑。
此 CSR 包含您组织的公钥和标识信息。Apple 使用它来签发一个与您的 GuardMDM 账户唯一绑定的证书。
注意: 私钥永远不会离开 GuardMDM — 它在服务器上生成并安全存储。您只需将面向公钥的 CSR 上传给 Apple。
在 Apple 推送证书门户中创建证书
- 前往 Apple 推送证书门户。
- 使用您组织的 Apple ID(通常是您的 Apple Developer 账户)登录。
- 点击创建证书。
- 在上传 CSR 部分,点击选择文件,然后选择您从 GuardMDM 下载的
.csr文件。 - 点击继续。Apple 处理请求并生成您的 MDM 推送证书。
- 点击下载,将证书(
.pem文件)保存到您的电脑。
将证书上传到 GuardMDM
- 返回 GuardMDM 设置 > APNs 证书。
- 点击上传证书。
- 选择您从 Apple 下载的
.pem文件。 - 点击保存。
GuardMDM 会验证证书并激活它。激活后,仪表盘会显示绿色状态指示器。
验证证书是否已激活
上传后,确认证书正常工作:
- 在 GuardMDM 中,前往设置 > APNs 证书。
- 状态应显示为已激活,并带有绿色对勾。
- 证书详情 — 包括颁发者、过期日期和主题(您的 Apple Team ID)— 会显示以供参考。
如果状态显示错误,请检查您上传的 .pem 文件是否正确,以及该文件是否由 GuardMDM 提供的 CSR 生成。
证书过期监控
APNs 证书自签发之日起一年后过期。GuardMDM 会监控过期时间,并在证书过期前发送通知:
- 过期前 30 天 — 向账户管理员发送邮件通知。
- 过期前 14 天 — 仪表盘横幅警告。
- 过期前 7 天 — 重复发送邮件提醒,直至证书续期。
续期时,重复相同流程:在 GuardMDM 中生成新的 CSR,在 Apple 推送证书门户中创建新证书,然后上传。续期不会影响已注册的设备 — 切换过程无缝进行。
重要: 如果证书过期,GuardMDM 将失去与所有设备的通信。过期期间排队的命令将失败。请在签发后 11 个月设置日历提醒,确保在截止日期前及时续期。
APNs 证书过期 = MDM 系统瘫痪
APNs 证书是 GuardMDM 与所有设备通信的唯一通道。一旦证书过期:
- 所有远程命令失效 — 无法锁定、擦除、重启设备,无法安装配置或应用
- 设备显示为 Offline — 仪表盘上所有设备状态丢失
- 新设备无法注册 — OTA 和 ADE 注册全部失败
- 安全策略无法推送 — 密码策略、限制、网络配置等全部失效
- 丢失模式无法启用 — 无法定位或锁定丢失设备
恢复: 续期后立即恢复推送功能。但过期期间积压的命令不会自动重试,需要手动重新发送。
⏰ 建议: 在证书到期前 60 天设置日历提醒,并确保用于创建证书的 Apple ID 始终可访问。
