看你正在开发iOS MDM服务器，而且已经接近完成了，先给你点个赞！针对你提到的几个核心疑问，结合你自己找到的部分解决方案，我整理了详细的解答：

核心疑问：PEM/APNs证书的作用 & 推送负载格式 #

首先明确：设备的Idle轮询是周期性的被动检查（间隔从几分钟到几十分钟不等），如果有紧急命令要下发，等设备自己轮询会有明显延迟。而.pem/APNs证书的核心作用，是让你的MDM服务器能主动触发设备立即轮询——通过Apple的APNs服务给设备发推送，让设备马上向你的Server URL发送Idle请求，这样你就能实时下发命令了。

你自己找到的Java实现是完全正确的，MDM推送不需要普通的APNs消息格式（比如带aps字段的那种），正确的负载只需要绑定设备的pushMagic值即可，代码示例如下：

com.notnoop.apns.ApnsService apnsservice = com.notnoop.apns.APNS.newService()
    .withCert(<pushCertStream>,<pushCertPass>)
    .withProductionDestination()
    .build();
apnsservice.push(token, com.notnoop.apns.APNS.newPayload().mdm(pushMagic).build());

这里的pushMagic是设备首次注册时通过Check-in消息发给你的唯一标识，每个设备对应一个值。

1) Apple检查SSL证书的时机 & 推送后的证书验证 #

关于证书检查的时机，分三种场景：

• 配置文件安装时：你已经遇到过，设备会验证配置文件里携带的SSL证书有效性，无效的话直接安装失败。
• 发送APNs推送时：Apple的APNs服务器会验证你的推送证书（就是你代码里用的那个.pem/.p12证书）的有效性，所以如果证书过期、私钥不匹配，就会触发InvalidSSLConfig异常，推送根本发不出去。
• 设备收到推送后发Idle请求时：设备会验证Server URL的SSL证书是否和配置文件里指定的一致，如果无效，设备会拒绝建立连接，不会发送Idle消息，甚至会返回MDM协议的错误码。

另外要注意：APNs推送证书和配置文件里的SSL证书是两个独立的东西——前者是用来和Apple的APNs服务器通信的，后者是设备和你的MDM服务器通信时验证用的，两者不需要一致，但都必须有效。

2) 多台服务器共用同一个APNs证书是否可行？ #

完全可以，而且这是分流负载的常用方案，不会产生任何冲突。APNs证书是绑定你的开发者账号和MDM服务的，只要每台服务器都正确配置了包含私钥的证书文件，就能独立向APNs服务器发送推送。你可以让不同服务器负责不同设备组的推送和命令处理，完美减轻单台服务器的压力。

3) 单个APNs证书的推送数量限制？ #

Apple没有针对单个APNs证书设置硬性的推送数量上限，只要你的推送请求符合APNs服务的规范（比如不要短时间内发送大量请求导致被限流），理论上可以处理任意数量的推送。不过要注意：如果短时间内发送超量推送，APNs会临时触发速率限制，建议批量推送时遵循Apple的速率指导，或者使用APNs的批量推送接口优化请求效率。

4) Check-in URL和Server URL能否不同/分属不同服务器？ #

完全可以，这两个URL的作用是分开的：

• Check-in URL：设备用来发送注册、注销、状态更新等Check-in类消息的地址
• Server URL：设备用来发送Idle轮询、命令执行结果等消息的地址

它们可以指向不同的域名甚至不同的服务器，只要这两个服务器都能正确处理MDM协议对应的请求，并且设备能正常访问到这两个地址（网络畅通、SSL证书有效）。

5) 推送证书更新后，已安装配置文件的设备如何更新证书信息？ #

这里要区分两种证书：

• APNs推送证书更新：设备的配置文件里根本不需要包含APNs证书信息，因为APNs推送是你的MDM服务器和Apple的APNs服务器之间的通信，设备不直接接触这个证书。所以你只需要在MDM服务器上替换新的APNs证书即可，已安装配置文件的设备不需要任何操作，就能正常接收新的推送。
• 配置文件里的SSL证书（设备与MDM服务器通信的证书）更新：你需要创建一个包含新SSL证书的配置文件，然后通过MDM命令（比如InstallProfile命令）推送给设备，让设备安装更新后的配置文件。MDM场景下一般都是通过命令推送更新，不需要用户手动操作。

内容的提问来源于stack exchange，提问作者Hulk Man