De vereisten voor AnyConnect-roamingmodule begrijpen voor versies die ouder zijn dan 4.8 MR2- en AD-connector

Inleiding

In dit document worden de vereisten beschreven voor het gebruik van de AnyConnect-roamingmodule vóór versie 4.8 MR2 en AD Connector.

Achtergrondinformatie

Vanaf 27 januari 2021 moeten alle klanten TLS 1.2+ gebruiken om verbinding te maken met de Umbrella Cloud voor synchronisatie, registratie en updates. Klanten met eerdere versies moeten handmatige aanpassingen uitvoeren om de Umbrella-clients te kunnen blijven gebruiken zonder te updaten.

AnyConnect-roamingmodule

Windows Roaming Client of AnyConnect-module

Endpoint Agent-versie: zelfstandige Umbrella-roamingclients ondersteunen alleen de huidige versie. Oudere versies worden niet ondersteund. Deze versie ondersteunt TLS 1.2 native met .NET 4.6.2+.

Aan beide voorwaarden moet worden voldaan:

1. A: Clientversie
   • Cisco AnyConnect met Umbrella-roamingmodule: Versie 4.8.02042+ (link)
     of
   • Cisco AnyConnect 4.3 MR4+ plus configureer TLS 1.2 met wijzigingen in het Windows-register om de TLS-ondersteuning uit te breiden met TLS 1.2:
2. B: .NET Framework-versie
   • Microsoft .NET Framework-versie: .NET 4.6.2
     of
   • oudere .NET-versies in overeenstemming met de vereisten voor de registersleutel

Windows-versie: 7, 8, 8.1, 10

Opmerking: voor MacOS-roamingclient of AnyConnect-module is er geen wijziging in de systeemvereisten voor TLS 1.2-ondersteuning.

Voor degenen die niet aan deze eisen voldoen, lees verder.

Technische details

Controleer of er oudere .NET-versies zijn geïnstalleerd en pas de registersleutels toe volgens het Microsoft-artikel.

Vereiste stappen voor oudere clientversies eerder dan AnyConnect 4.8 (MR2 vanaf 2):

Optie A: schusestrongcrypto

Deze oplossing stelt de ondersteunde beveiligde protocollen expliciet in op de set van TLS 1.0, TLS 1.1 en TLS 1.2 in plaats van te vertrouwen op .NET-oproepstandaardinstellingen.

Hier is een stap-voor-stap handleiding:

1. Controleer welke .NET Framework-versie op het Windows-systeem is geïnstalleerd.
2. Als alleen .NET versie 4.6.2 (of hoger) is geïnstalleerd, moet u met het nieuwste .NET Framework overschakelen naar een sterker cijfer. Gebruik deze registersleutels:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001

Een PowerShell-script wordt als voorbeeld gegeven voor het maken van deze wijzigingen via SCCM/CLI. Dit script wordt geleverd zoals het is.

# set strong cryptography on 64 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord


# set strong cryptography on 32 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord 
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord

Optie B: SystemDefaultTLSversies

Voor oudere .NET-versies is deze optie vereist voor oudere clients. Voor .NET 4.6.2+ is dit een gelijkwaardig alternatief voor schusestrongcrypto; beide oplossingen zijn vereist.

Deze oplossing stelt de keuze van de TLS-versie uit naar het besturingssysteem in plaats van deze te bepalen binnen .NET. Stelt oudere oproepen in staat om systeemondersteunde versies te gebruiken. In de meeste gevallen gaat het om TLS 1.2.

1. .NET 4.5.1, 4.5.2: Vereist https://support.microsoft.com/kb/3156421
2. .NET 3.5 SP1 op Windows 7: vereist https://support.microsoft.com/kb/3154518
3. .NET 3.5 SP1 op Windows 8.1: Vereist https://support.microsoft.com/kb/3154520
4. .NET 4.6.2+: geen aanvullende vereisten

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001

Active Directory-connector

Ondersteunde platforms: Windows Server 2012 en hoger.

Als uw Connector op Windows Server 2012 of hoger wordt uitgevoerd en .NET versie 4.x wordt uitgevoerd, moet de Connector standaard TLS 1.2 gebruiken bij het communiceren met Umbrella.

Opmerking: ondersteuning voor connectors waarop Windows Server 2008 en 2008 R2 wordt uitgevoerd, is stopgezet, omdat Microsoft in januari 2020 heeft aangekondigd dat de ondersteuning voor deze versies wordt beëindigd. U moet upgraden naar een ondersteunde Windows Server-versie om de Connector te kunnen blijven gebruiken. Als u de Windows Server-versie niet kunt upgraden, moet u .NET versie 4.5 op dit systeem installeren om de connector in staat te stellen TLS 1.2 te gebruiken om met Umbrella te communiceren.