It's important to note that the CTL file has a fixed max size. It must contain a trust list of all nodes in the cluster, all token certificates, the CAPF certificate, and certificates for all TFTP servers.<div><br></div>
<div>If the CAPF certificate is signed by a Certificate Authority (instead of the default self signed) this must also be included in the CAPF file.</div><div><br></div><div>Under normal circumstances this is never a problem for customers.</div>
<div><br></div><div>If you have a mega cluster with CA signed CAPF certificates, and 4 TFTP servers though - just keep in mind that you reach a point of diminishing returns when adding more tokens. Keep enough so that you will NEVER lose one, but at some point you just can't add any more.</div>
<div><br></div><div><a href="http://www.cisco.com/en/US/partner/docs/voice_ip_comm/cucm/security/8_5_1/secugd/secuauth.html#wpmkr1169210">http://www.cisco.com/en/US/partner/docs/voice_ip_comm/cucm/security/8_5_1/secugd/secuauth.html#wpmkr1169210</a></div>
<div><br></div><div><a href="http://www.cisco.com/en/US/partner/docs/voice_ip_comm/cucm/security/8_5_1/secugd/secuauth.html#wpmkr1169210"></a>This isn't a case of 2 being good... and then 100 being better. You can (but are unlikely to) hit a point where you can have too many. Just wanted to throw that into the conversation.</div>
<div><br></div><div>-Jason Burns<br><br><div class="gmail_quote">On Mon, Apr 4, 2011 at 2:33 PM, Bernhard Albler <span dir="ltr"><<a href="mailto:bernhard.albler@gmail.com">bernhard.albler@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">> Not as far as i know. We have been doing this for customer where there<br>
> is a development/test and a production enviroment. Keeps complexity<br>
> down. We just use the same tokens, generally buying a total of 4 for<br>
> max redundancy (paranoia) and putting all of them on both CTLs.<br>
</div>what I meant: there is no impact on the tokens. As other have said: it<br>
works just fine with multiple clusters. We just generally use at least<br>
4 tokens if we use the tokens for multiple clusters so we have<br>
multiple access paths to the CTL. If you lose one token (or the<br>
password) you can still change the CTL.<br>
<div><div></div><div class="h5"><br>
regards<br>
bernhard<br>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</div></div></blockquote></div><br></div>