Skip to content

设置 APNs 推送证书

什么是 APNs?

APNs(Apple Push Notification service,Apple 推送通知服务)是 Apple 用于向 iOS、iPadOS 和 macOS 设备推送通知的基础设施。在 MDM 的上下文中,APNs 是 GuardMDM 向设备发送命令(如锁定、擦除、安装应用或推送配置描述文件)的通信通道。

没有 APNs,GuardMDM 无法联系到您的设备。设备会向 Apple 的推送服务签到,Apple 再将 GuardMDM 的命令路由到设备。这意味着:

  • APNs 是基础 — 没有它,GuardMDM 完全无法与设备通信。
  • 每个 MDM 解决方案都需要有效的 APNs 证书才能运行。
  • 该证书将您的 GuardMDM 账户与您组织的 Apple 服务绑定在一起。

GuardMDM 如何生成 CSR

在您于 Apple 门户中创建 APNs 证书之前,GuardMDM 会为您生成一个证书签名请求(CSR)

  1. 登录您的 GuardMDM 仪表盘。
  2. 导航至 设置 > APNs 证书
  3. 点击生成 CSR。GuardMDM 会创建一个 .csr 文件并下载到您的电脑。

此 CSR 包含您组织的公钥和标识信息。Apple 使用它来签发一个与您的 GuardMDM 账户唯一绑定的证书。

注意: 私钥永远不会离开 GuardMDM — 它在服务器上生成并安全存储。您只需将面向公钥的 CSR 上传给 Apple。

在 Apple 推送证书门户中创建证书

  1. 前往 Apple 推送证书门户
  2. 使用您组织的 Apple ID(通常是您的 Apple Developer 账户)登录。
  3. 点击创建证书
  4. 上传 CSR 部分,点击选择文件,然后选择您从 GuardMDM 下载的 .csr 文件。
  5. 点击继续。Apple 处理请求并生成您的 MDM 推送证书。
  6. 点击下载,将证书(.pem 文件)保存到您的电脑。

将证书上传到 GuardMDM

  1. 返回 GuardMDM 设置 > APNs 证书
  2. 点击上传证书
  3. 选择您从 Apple 下载的 .pem 文件。
  4. 点击保存

GuardMDM 会验证证书并激活它。激活后,仪表盘会显示绿色状态指示器。

验证证书是否已激活

上传后,确认证书正常工作:

  1. 在 GuardMDM 中,前往设置 > APNs 证书
  2. 状态应显示为已激活,并带有绿色对勾。
  3. 证书详情 — 包括颁发者过期日期主题(您的 Apple Team ID)— 会显示以供参考。

如果状态显示错误,请检查您上传的 .pem 文件是否正确,以及该文件是否由 GuardMDM 提供的 CSR 生成。

证书过期监控

APNs 证书自签发之日起一年后过期。GuardMDM 会监控过期时间,并在证书过期前发送通知:

  • 过期前 30 天 — 向账户管理员发送邮件通知。
  • 过期前 14 天 — 仪表盘横幅警告。
  • 过期前 7 天 — 重复发送邮件提醒,直至证书续期。

续期时,重复相同流程:在 GuardMDM 中生成新的 CSR,在 Apple 推送证书门户中创建新证书,然后上传。续期不会影响已注册的设备 — 切换过程无缝进行。

重要: 如果证书过期,GuardMDM 将失去与所有设备的通信。过期期间排队的命令将失败。请在签发后 11 个月设置日历提醒,确保在截止日期前及时续期。

APNs 证书过期 = MDM 系统瘫痪

APNs 证书是 GuardMDM 与所有设备通信的唯一通道。一旦证书过期:

  • 所有远程命令失效 — 无法锁定、擦除、重启设备,无法安装配置或应用
  • 设备显示为 Offline — 仪表盘上所有设备状态丢失
  • 新设备无法注册 — OTA 和 ADE 注册全部失败
  • 安全策略无法推送 — 密码策略、限制、网络配置等全部失效
  • 丢失模式无法启用 — 无法定位或锁定丢失设备

恢复: 续期后立即恢复推送功能。但过期期间积压的命令不会自动重试,需要手动重新发送。

建议: 在证书到期前 60 天设置日历提醒,并确保用于创建证书的 Apple ID 始终可访问。

基于 MIT 许可证发布