Endgeräte-Upgrade zur Unterstützung von TLS 1.2 für Umbrella Services

Download-Optionen

  • PDF     (269.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (105.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (164.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. August 2025
Dokument-ID:224757

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Endpunkte und Anwendungen für Umbrella-Services vorbereitet werden, die TLS 1.2 erfordern.

    TLS 1.2 - Anforderungsüberblick

    Zum 31. März 2020 werden Transport Layer Security (TLS) 1.0 und 1.1 von Umbrella-Servern und -Services nicht mehr unterstützt. Alle Endgeräte müssen TLS 1.2 unterstützen, damit Umbrella ordnungsgemäß funktioniert.

    Unterstützung für TLS 1.0/1.1 aktualisiert

    • Mit Ausnahme von AnyConnect, dem Umbrella Roaming Client und dem AD Connector stellte Umbrella im März 2020 die Unterstützung für TLS 1.0/1.1 ein.
    • Aufgrund von Backend-Abhängigkeiten akzeptierten bestimmte Dashboard- und API-Services bis zum 27. Januar 2021 weiterhin TLS 1.0/1.1-Verbindungen. Nach diesem Datum werden TLS 1.0/1.1-Verbindungen von diesen Services nicht mehr akzeptiert.
    • Geräte, die nicht auf das Dashboard oder die APIs zugreifen können, müssen auf TLS 1.2-Unterstützung überprüft werden.

    Schutz für AnyConnect- oder Roaming-Client-Geräte

    Umbrella verlängerte die Frist bis zum 27. Januar 2021, um das Upgrade auf TLS 1.2 abzuschließen. Es gibt keine weiteren Verlängerungen. AnyConnect- und Roaming-Client-Geräte, die nach dem 27. Januar 2021 die TLS 1.2-Anforderungen nicht erfüllen, werden nicht mehr durch Umbrella geschützt.

    Unterstützung von sicheren Web-Gateways

    • Umbrella bietet keine Unterstützung für HTTPS-Datenverkehr über TLS 1.0 oder 1.1 im Secure Gateway-Produkt.
    • Vor dem 27. Januar 2021 bot Secure Web Gateway nur eingeschränkte Unterstützung für diese Protokolle, wenn die HTTPS-Entschlüsselung deaktiviert war.
    • Konfigurieren Sie alle Client-Betriebssysteme so, dass sie TLS 1.2 unterstützen.
    • Führen Sie bei Bedarf Upgrades oder Modifikationen von nicht-browserbasierten Anwendungen durch, um die TLS 1.2-Kompatibilität sicherzustellen. Wenden Sie sich bei Fragen an die Anwendungsanbieter.

    Umbrella Active Directory Connector-Anforderungen

    Umbrella unterstützt keine Active Directory-Konnektoren, die auf Windows-Betriebssystemen bereitgestellt werden, die das Ende des Lebenszyklus erreicht haben. AD-Connectors, die unter nicht unterstützten Windows-Versionen (Windows Server 2008, 2008 R2 oder Windows 7) ausgeführt werden, werden nicht mehr mit Umbrella synchronisiert, und am 27. Januar 2021 wird der Fehlerstatus eingegeben.

    Umbrella Agents: Mindestversionsanforderungen

    Windows-Roaming-Client oder AnyConnect-Modul

    macOS-Roaming-Client oder AnyConnect-Modul

    • Jede Version des Umbrella Roaming Client oder des AnyConnect Roaming-Moduls unterstützt TLS 1.2.
    • Unterstützte MacOS-Version: 10.9 oder neuer

    Weitere häufig gestellte Fragen

    Was passiert, wenn die Endpunkte nicht fristgerecht aktualisiert werden?

    Endpunkte, die keine TLS 1.2-Verbindung aushandeln können, können nicht auf Umbrella-Systeme, einschließlich Dashboard, intelligente Proxy-Services und Blockseiten, zugreifen.
    Bei Kunden, die das Umbrella Roaming Module in AnyConnect, den Umbrella Enterprise Roaming Client oder den Umbrella AD Connector ausführen, kann der Client keine Verbindung zu einem Umbrella-Service herstellen. Dies führt dazu, dass der Client Konfiguration und Status nicht mit dem Umbrella Dashboard synchronisiert.

    Bestehende Roaming-Clients werden nicht mehr aktiviert und bleiben beim nächsten Dienststart ungeschützt. Neue Clients, die TLS 1.2 nicht unterstützen, können sich nicht bei Umbrella registrieren. Diese Clients lassen sich nicht öffnen. DNS wird weiterhin über den lokalen Netzwerk-Stack aufgelöst, die Roaming-Client-Sicherheitsdienste werden jedoch nicht aktiviert.

    Geräte, die versuchen, auf blockierte Websites zuzugreifen, oder Geräte, die über den intelligenten Proxy geroutet werden, können keine Verbindung herstellen. Geräte, die den Roaming-Client verwenden, können nicht auf Umbrella-Websites, Blockseiten oder Proxydienste zugreifen.

    Funktioniert der Registrierungsschlüssel bei älteren Versionen?

    Ja, für AnyConnect. Verwenden Sie nach der Anwendung der Registrierungsbearbeitung weiterhin ältere Versionen, um "stroncrypto" vorzuziehen. Vor den aufgeführten Mindestversionen hat der Roaming-Client HTTPS-Verbindungen initiiert, ohne explizit TLS 1.2 "strong crypto" anzugeben. Wenn .NET TLS 1.2 unterstützt, wird es standardmäßig verwendet. Die Registrierungsschlüssel zwingen .NET, "strong crypto" zu verwenden, und replizieren die Updates in neuen Clientversionen. Eigenständige Roaming-Clients, die älter als die neueste Version sind, werden nicht unterstützt.

    Kann ich nur TLS 1.2 testen?

    Ja. Deaktivieren Sie TLS 1.0 und TLS 1.1 in der Windows-Registrierung, um sicherzustellen, dass Geräte nur mit TLS 1.2 voll funktionsfähig sind.

    Warum sollten TLS 1.0 und 1.1 veraltet sein?

    TLS 1.0 und 1.1 sind veraltet und unterstützen keine modernen kryptografischen Algorithmen. Sie enthalten Schwachstellen, die von Angreifern ausgenutzt werden können. Die Internet Engineering Task Force missbilligt beide Protokolle. Der größte Teil des verschlüsselten Internetdatenverkehrs verwendet TLS 1.2, das vor über zehn Jahren eingeführt wurde.

    Warum wurde der 31. März 2020 ausgewählt?

    Die Branche ist dabei, TLS 1.0 und 1.1 in diesem Zeitraum zu verwerfen. Google, Microsoft, Apple und Mozilla haben angekündigt, dass ihre Browser TLS 1.0 und 1.1 ab März 2020 nicht mehr unterstützen.

    Können Benutzer mit aktuellen Geräten davon betroffen sein?

    Nein. Die meisten Websites unterstützen TLS 1.2. Laut Qualys SSL Labs unterstützen 95,2 Prozent der Websites TLS 1.2. Diese Zahl wird sich voraussichtlich mit dem Beginn des Monats März 2020 erhöhen. Eine kleine Anzahl von Websites kann nicht funktionieren, die Auswirkungen auf die Benutzer sind jedoch insgesamt minimal. Stellen Sie sicher, dass die aktuellen Geräte die richtige Version von .NET für Windows-Computer enthalten.

    Sind nach der Aktualisierung eines Endpunkts für TLS 1.2 weitere Maßnahmen erforderlich, um den Umbrella-Support erneut zu aktivieren?

    In den meisten Fällen sind keine weiteren Maßnahmen erforderlich. Der Client stellt die Kommunikation mit Umbrella-Systemen mithilfe des sicheren TLS 1.2-Protokolls wieder her. Beim Umbrella Enterprise Roaming Client oder beim Umbrella Roaming Client für AnyConnect kann es zu einer Verzögerung bei der Wiederherstellung kommen, wenn das System während eines Client-Software-Updates offline war. Der Client muss Updates herunterladen, bevor der Dienst vollständig wiederhergestellt wird.

    Wie kann ich die Endgeräteunterstützung für TLS 1.2 bestätigen?

    • Unterstützung für Windows-Webbrowser

      • Rufen Sie das Umbrella Dashboard und zugehörige Websites auf.
      • Führen Sie den SSL Labs-Browsertest aus. Bestätigen Sie, dass "Yes" (Ja) neben TLS 1.2 im Abschnitt Protocols (Protokolle) angezeigt wird.

    • Unterstützung von Windows .NET Framework

      • Gilt für Enterprise Roaming Client, AnyConnect Roaming-Modul oder AD Connector.
      • .NET 4.6.2 oder höher bietet native TLS 1.2-Unterstützung.
      • Frühere Versionen erfordern Registry Edits (4.x) oder Registry Edits und manuelle Hotfix Patches (3.5).
      • Diese Informationen gelten für Umbrella-Software, die auf .NET Framework ausgeführt wird, einschließlich AD Connector und Roaming-Client.
      • Deaktivieren Sie SSL, TLS 1.0 und TLS 1.1 auf Betriebssystemebene, indem Sie die Anweisungen von Microsoft ausführen.
        blobid0.pngblobid0.png

    • Für Apple Mac und andere Systeme

    • Führen Sie den SSL Labs-Browsertest durch. Vergewissern Sie sich, dass im Abschnitt "Protokolle" neben TLS 1.2 ein "Ja" angezeigt wird.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    04-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.