<div dir="ltr">That makes sense, I think.  The part I'm not clear on is how does the phone retrieve the new cert?  Initially, the phone has to be set up on the LAN to get the certs.  Is it because it is already connected to the VPN that it will get the new cert without bringing it back in to the office?</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jan 28, 2014 at 9:27 AM, Brian Meade (brmeade) <span dir="ltr"><<a href="mailto:brmeade@cisco.com" target="_blank">brmeade@cisco.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" vlink="purple" link="blue">
<div>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Erick,<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">You can add a 2<sup>nd</sup> cert to the VPN Gateway configuration after you add it as a VPN-Trust.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">So what you want to do is create a new trustpoint on the ASA with the new certificate, upload that to CUCM as a phone-vpn-trust, and then add it as a 2<sup>nd</sup>
 cert to the VPN Gateway.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">You’ll then want to make sure all the VPN phones get reset so they get the new certificate as well.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">After all the VPN phones have both certificates, you can then change SSL on the ASA to bind to the other trustpoint and start using the new certificate.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">If you follow that method, you want have to bring any of the VPN phones back in as long as they’re connected.  The main problem with this method is some people
 have VPN phones that they rarely connect so you’ll need to make sure everyone connects their phones to get the new certificate before you make the change on the ASA.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt">Brian<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:"Calibri","sans-serif";font-size:11pt"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-family:"Tahoma","sans-serif";font-size:10pt">From:</span></b><span style="font-family:"Tahoma","sans-serif";font-size:10pt"> cisco-voip [mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a>]
<b>On Behalf Of </b>Erick Wellnitz<br>
<b>Sent:</b> Tuesday, January 28, 2014 10:20 AM<br>
<b>To:</b> cisco-voip<br>
<b>Subject:</b> [cisco-voip] cisco phone-vpn cert expiration<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">I have a situation I'm sure isn't unique.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">What happens when I upload a new phone-vpn cert to the CUCM to replace an expired/expiring one?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Are vpn phones going to freak out and stop authenticating to the VPN or should everything be smooth sailing?<u></u><u></u></p>
</div>
</div>
</div>
</div>

</blockquote></div><br></div>