Dany,<br><br>The defect that adds this functionality to CUCM for Tomcat is<br><br>CSCso62711 - Cert Manager should generates Tomcat CSR using RSA 2048 instead of 1024<br><br>Unfortunately, this defect was only fixed in the 8.0(3) versions of CUCM and newer.<br>
<br>With the information that Mike provided below (and current CA behavior), I can see merit in porting this change back to older versions for the Tomcat service. If you look through the past threads on this forum I'll think you'll see most people requesting the enhanced key size for Tomcat certs.<br>
<br>Would you be willing to open a service request and unicast me the case number so I can look into asking devs to back port the fix? If I make any progress (or get a definitive no) I can respond back to the alias with my results.<br>
<br>-Jason<br><br><br><div class="gmail_quote">On Fri, Feb 25, 2011 at 1:03 PM, Wes Sisk <span dir="ltr"><<a href="mailto:wsisk@cisco.com">wsisk@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div text="#000000" bgcolor="#ffffff">
I believe there are some dependencies there that may not be clear.
Consider:<br>
CSCtn01236 2048 bit certs<br>
CSCsv32209 Unified OS Browser hangs display certificate with bit
key more than 1024 <br>
<br>
It appears dependent on version and the type of certificate being
used.<br>
<br>
Regards,<br><font color="#888888">
Wes</font><div><div></div><div class="h5"><br>
<br>
<br>
<br>
On 2/25/2011 12:15 PM, Ryan Ratliff wrote:
<blockquote type="cite">You don't get to pick what's used for the CSR, you
just have to generate it and see what it's using.
<div><br>
</div>
<div>CUCM 8.0(3) generates 2048-bit CSRs for tomcat by default.</div>
<div><br>
</div>
<div>
<div>rratliff-mac:Desktop rratliff$ openssl req -text -noout -in
tomcat.csr</div>
<div>Certificate Request:</div>
<div> Data:</div>
<div> Version: 0 (0x0)</div>
<div> Subject:
CN=rratliff-cucm-8-pub.voip.rratliff.local, OU=TAC, O=Cisco,
L=RTP, ST=NC, C=US</div>
<div> Subject Public Key Info:</div>
<div> Public Key Algorithm: rsaEncryption</div>
<div> RSA Public Key: (2048 bit)</div>
<div> Modulus (2048 bit):</div>
<div><br>
</div>
<div>
<div style="font-family: Helvetica;">-Ryan</div>
</div>
<br>
<div>
<div>On Feb 25, 2011, at 11:46 AM, Mike King wrote:</div>
<br>
No CA will issue a certificate of less than 2048 due to the
NIST issuing recommendation <a href="http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Part1-revised2_Mar08-2007.pdf" target="_blank">http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Part1-revised2_Mar08-2007.pdf</a> that
Sizes of less than 2048 not be accepted.
<div>
<br>
</div>
<div>The Real traction to this is that Microsoft (and all
browser makers (Opera, Mozilla, Chrome)) have stated they
will remove All 1024 bit CA certs from they're products as
of December of 2010. (In support of the NIST deadline,
detailed above)</div>
<div><a href="http://technet.microsoft.com/en-us/library/cc751157.aspx" target="_blank">http://technet.microsoft.com/en-us/library/cc751157.aspx</a></div>
<div><br>
</div>
<div>I'm not sure how to get CUCM to generate a 2048 CSR.</div>
<div><br>
</div>
<div>Do these docs help?</div>
<div><br>
</div>
<div><a href="http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/cucos/7_1_2/cucos/iptpch6.html#wp1046223" target="_blank">http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/cucos/7_1_2/cucos/iptpch6.html#wp1046223</a></div>
<div><br>
</div>
<div><a href="http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/security/7_0_1/secugd/secuview.html#wp1147888" target="_blank">http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/security/7_0_1/secugd/secuview.html#wp1147888</a></div>
<div><br>
</div>
<div>Mike<br>
<br>
<div class="gmail_quote">On Fri, Feb 25, 2011 at 11:28 AM,
Jimhend FORTIN Dany <span dir="ltr"><<a href="mailto:jeterapres@hotmail.com" target="_blank">jeterapres@hotmail.com</a>></span>
wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div>
<span title="Cliquer ici pour voir d'autres
traductions">Hello</span><span title="Cliquer ici
pour voir d'autres traductions">,</span> <br>
<br>
<span title="Cliquer ici pour voir d'autres
traductions">I</span> <span title="Cliquer ici pour
voir d'autres traductions">want</span> <span title="Cliquer ici pour voir d'autres traductions">to</span>
<span title="Cliquer ici pour voir d'autres
traductions">sign</span> <span title="Cliquer ici
pour voir d'autres traductions">a</span> <span title="Cliquer ici pour voir d'autres traductions">CSR</span>
<span title="Cliquer ici pour voir d'autres
traductions">Tomcat</span> <span title="Cliquer ici
pour voir d'autres traductions">SSL</span> <span title="Cliquer ici pour voir d'autres traductions">by
a recognized authority</span><span title="Cliquer
ici pour voir d'autres traductions">.</span> <span title="Cliquer ici pour voir d'autres traductions">But</span>
<span title="Cliquer ici pour voir d'autres
traductions">my</span> <span title="Cliquer ici
pour voir d'autres traductions">file is</span> <span title="Cliquer ici pour voir d'autres traductions">not</span>
<span title="Cliquer ici pour voir d'autres
traductions">accepted</span> <span title="Cliquer
ici pour voir d'autres traductions">because</span> <span title="Cliquer ici pour voir d'autres traductions">it
seems</span> <span title="Cliquer ici pour voir
d'autres traductions">to be</span> <span title="Cliquer ici pour voir d'autres traductions">in
1024</span> <span title="Cliquer ici pour voir
d'autres traductions">and</span> <span title="Cliquer ici pour voir d'autres traductions">most</span>
<span title="Cliquer ici pour voir d'autres
traductions">authorities</span> <span title="Cliquer ici pour voir d'autres traductions">agree</span>
<span title="Cliquer ici pour voir d'autres
traductions">that</span> <span title="Cliquer ici
pour voir d'autres traductions">CSR</span> <span title="Cliquer ici pour voir d'autres traductions">Certification</span>
<span title="Cliquer ici pour voir d'autres
traductions">of 2048</span><span title="Cliquer ici
pour voir d'autres traductions">.</span><br>
<br>
<span title="Cliquer ici pour voir d'autres
traductions">Is</span> <span title="Cliquer ici
pour voir d'autres traductions">there</span> <span title="Cliquer ici pour voir d'autres traductions">a</span>
<span title="Cliquer ici pour voir d'autres
traductions">company</span> <span title="Cliquer
ici pour voir d'autres traductions">cheap</span> <span title="Cliquer ici pour voir d'autres traductions">that</span>
<span title="Cliquer ici pour voir d'autres
traductions">accepts</span> <span title="Cliquer
ici pour voir d'autres traductions">CSR</span> <span title="Cliquer ici pour voir d'autres traductions">of
1024</span><span title="Cliquer ici pour voir
d'autres traductions">?</span> <span title="Cliquer
ici pour voir d'autres traductions">Otherwise</span><span title="Cliquer ici pour voir d'autres traductions">,</span>
<span title="Cliquer ici pour voir d'autres
traductions">how can</span> <span title="Cliquer
ici pour voir d'autres traductions">that</span> <span title="Cliquer ici pour voir d'autres traductions">CUCM</span>
<span title="Cliquer ici pour voir d'autres
traductions">generates</span> <span title="Cliquer
ici pour voir d'autres traductions">a</span> <span title="Cliquer ici pour voir d'autres traductions">CSR</span>
<span title="Cliquer ici pour voir d'autres
traductions">of 2048</span><span title="Cliquer ici
pour voir d'autres traductions">?</span><br>
<br>
<span lang="en"><span title="Cliquer ici pour voir
d'autres traductions">Thank you</span> <span title="Cliquer ici pour voir d'autres traductions">for
your</span> <span title="Cliquer ici pour voir
d'autres traductions">time</span></span><br>
<span lang="en"><span title="Cliquer ici pour voir
d'autres traductions"></span></span> <br>
<span lang="en"><span title="Cliquer ici pour voir
d'autres traductions">Dany</span></span><br>
<br>
Jimhend <a href="mailto:jeterapres@hotmail.com" target="_blank">jeterapres@hotmail.com</a><br>
<br>
<br>
</div>
<br>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br>
</blockquote>
</div>
<br>
</div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</div>
<br>
</div>
<pre><fieldset></fieldset>
_______________________________________________
cisco-voip mailing list
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a>
</pre>
</blockquote>
</div></div></div>
<br>_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br>