<div>Ariel,</div><div><br></div>The CTL for the CUCM cluster is signed by the USB eToken.<div><br></div><div>The CTL for the ASA is signed by a private key self generated on the ASA.</div><div><br></div><div>You cannot place the ASA public key into the CUCM CTL.</div>
<div><br></div><div>You cannot place the eToken public key in the ASA CTL.</div><div><br></div><div>(These two previous bullets mean that when you move a phone from the inside to the outside or vice versa, you have to delete the CTL manually from the phone)</div>
<div><br></div><div>Both the CUCM CTL file and the ASA CTL file need to contain the CAPF certificate, but the CAPF process runs ONLY on the CUCM publisher server.</div><div><br></div><div>This means that even though the two CTL files are not going to be trusted by each other, the ASA does need to have the CUCM CAPF certificate so it can build the correct CTL file. The ASA just passes through the CAPF connection from an outside phone requesting an LSC to the CUCM publisher.</div>
<div><br></div><div>No modifications are required to the CUCM server CTL for this to work, just take the CUCM CAPF cert and load it on the ASA.</div><div><br></div><div>-Jason Burns<br><br><div class="gmail_quote">On Fri, Apr 13, 2012 at 2:22 PM, ROZA, Ariel <span dir="ltr"><<a href="mailto:Ariel.ROZA@la.logicalis.com">Ariel.ROZA@la.logicalis.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div lang="ES-AR" link="blue" vlink="purple"><div><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks for the info Jason.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Additionally, what about the CTL file for the cluster? Do I have to modify it to include the ASA? I am assuming a “yes”, but still I would like to be certain.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Regards,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Ariel.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Jason Burns [mailto:<a href="mailto:burns.jason@gmail.com" target="_blank">burns.jason@gmail.com</a>] <br>
<b>Sent:</b> jueves, 12 de abril de 2012 07:11 p.m.<br><b>To:</b> ROZA, Ariel<br><b>Cc:</b> <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br><b>Subject:</b> Re: [cisco-voip] PhoneProxy and CTL file modification<u></u><u></u></span></p>
<div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal" style="margin-bottom:12.0pt">The ASA completely takes care of generating the CTL file for the Phone Proxy feature that gets presented to Phone Proxy Phones. The ASA needs to have the correct CCM certificates uploaded (primarily the CAPF certificate) so that the ASA can bundle the CAPF certificate in the CTL file it generates.<br>
<br>You don't import the CTL from the CUCM into the ASA, you import certificates from the CUCM, and the ASA generates a brand new CTL file and signs it with its own key.<br><br>When you move phones inside to outside or outside to inside you need to delete the CTL file from the phone manually.<br>
<br>-Jason<u></u><u></u></p><div><p class="MsoNormal">On Thu, Apr 12, 2012 at 4:27 PM, ROZA, Ariel <<a href="mailto:Ariel.ROZA@la.logicalis.com" target="_blank">Ariel.ROZA@la.logicalis.com</a>> wrote:<u></u><u></u></p>
<div><div><p class="MsoNormal">Hi, guys!<u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"><span lang="EN-US">For those who have successfully implemented Cisco PhoneProxy:</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US">I have been reading the instructions on both Callmanager and ASA documentations, and I have some doubts about it.</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US">According to CUCM documentation, you need to modify the CTL file used by the cluster, to add the ASA firewall with username and password.</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US"> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US">The ASA documentation says that you have to import the CTL file from the cluster and modify it within the ASA.</span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US"> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US">What´s the correct way to handle the CTL file to implement PhoneProxy? The security mode for the cluster is set to mixed.</span><u></u><u></u></p>
<p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US">Regards,</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p><p class="MsoNormal">
<span lang="EN-US">Ariel.</span><u></u><u></u></p><p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p><table border="0" cellspacing="0" cellpadding="0" width="899" style="width:674.25pt"><tbody><tr style="min-height:34.5pt">
<td valign="top" style="padding:0cm 0cm 0cm 0cm;min-height:34.5pt"><p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p></td><td valign="top" style="padding:0cm 0cm 0cm 0cm;min-height:34.5pt"><p class="MsoNormal">
<b><span lang="EN-US" style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#ff3300">ARIEL ROZA</span></b><span lang="EN-US" style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#666666"><br>
</span><b><span lang="EN-US" style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#333333">Advanced Engineering</span></b><u></u><u></u></p></td></tr><tr style="min-height:18.0pt"><td width="16" style="width:11.95pt;padding:0cm 0cm 0cm 0cm;min-height:18.0pt">
<p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p></td><td width="883" style="width:662.3pt;padding:0cm 0cm 0cm 0cm;min-height:18.0pt"><p class="MsoNormal"><b><span style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#ff3300">LOGICALIS</span></b><span style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#666666"><br>
</span><span style="font-size:7.5pt;font-family:"Verdana","sans-serif"">Perú 327 1er Piso - C.A.B.A. - Argentina - C1067AAG<br>Tel/Fax: <a href="tel:%2B54%20%2811%29%204344-0300" target="_blank">+54 (11) 4344-0300</a><br>
<u><a href="mailto:ariel.roza@la.logicalis.com" target="_blank">ariel.roza@la.logicalis.com</a></u><br><u><span style="color:purple"><a href="http://www.la.logicalis.com" target="_blank">www.la.logicalis.com</a></span><span style="color:#ff3300"><br>
</span><span style="color:purple"><a href="http://www.logicalisnow.com" target="_blank">www.logicalisnow.com</a></span></u></span><u></u><u></u></p></td></tr><tr style="min-height:71.25pt"><td width="16" style="width:11.95pt;padding:0cm 0cm 0cm 0cm;min-height:71.25pt">
</td><td width="883" valign="top" style="width:662.3pt;padding:0cm 0cm 0cm 0cm;min-height:71.25pt"><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:green">Por favor, piense en el medioambiente antes de imprimir este email.</span><span style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#666666"> <br>
</span><span style="font-size:7.5pt;font-family:"Verdana","sans-serif";color:#333333">La presente información se envía únicamente para el destinatario, y contiene información de carácter CONFIDENCIAL o PRIVLEGIADA.<br>
La modificación, retransmisión, difusón, copia u otro uso de esta información por cualquier medio, por personas distintas al destinatario, están estrictamente prohibidas.</span><u></u><u></u></p></td></tr></tbody></table>
<p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"> <u></u><u></u></p></div></div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>_______________________________________________<br>cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br><a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><u></u><u></u></p>
</div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></blockquote></div><br></div>