<tt><font size=2>Rob Dawson <rdawson@force3.com> wrote on 03/19/2015
10:50:55 AM:<br>
 <br>
> What document are you looking at?</font></tt>
<br>
<br><tt><font size=2>Cisco Jabber for Windows 9.7 Installation and Configuration
Guide</font></tt>
<br>
<br><tt><font size=2>> As far as I know the only certificate “push”
would be done via GPO <br>
> or some similar mechanism. During the SSL handshake the server <br>
> certificate is sent to the client and the client will attempt to <br>
> validate either the cert itself, or the signing authority, against
<br>
> its trust list. If the certificate is not in the trust list then the<br>
> client will be offered the opportunity to trust/add it to its store,<br>
> but this is the server cert, not the root cert. If however the CA
<br>
> root cert (public or private) OR the privately signed cert is <br>
> already in the trust list then it should work with no further <br>
> intervention or prompting. Once the client trusts the certificate
<br>
> then the key exchange happens.</font></tt>
<br><tt><font size=2>> I can’t really think of anytime that it would
a solid decision, <br>
> security wise, to allow a piece of software to install a trusted <br>
> root certificate.</font></tt>
<br>
<br>
<br><tt><font size=2>I'm thinking the action that we take on CUCM, which
we refer to as 'pushing a cert to the Jabber client' is the following:</font></tt>
<br>
<br><tt><font size=2>--------</font></tt>
<br>
<br><tt><font size=2>Import Root Certificates on Client Computers</font></tt>
<br>
<br><tt><font size=2>Every server certificate should have an associated
root certificate present in the trust store on client computers. Cisco
Jabber validates the certificates that servers present against the root
certificates in the trust store. If you get server certificates signed
by a public CA, the public CA should already have a root certificate present
in the trust store on the client computer. In this case, you do not need
to import root certificates on the client computers.</font></tt>
<br>
<br><tt><font size=2>You should import root certificates into the Microsoft
Windows certificate store if:</font></tt>
<br>
<br><tt><font size=2>• The certificates are signed by a CA that does not
already exist in the trust store, such as a private CA.</font></tt>
<br>
<br><tt><font size=2>Import the private CA certificate to the Trusted Root
Certification Authorities store.</font></tt>
<br>
<br><tt><font size=2>• The certificates are self-signed.</font></tt>
<br>
<br><tt><font size=2>Import self-signed certificates to the Enterprise
Trust store.</font></tt>
<br>
<br><tt><font size=2>--------</font></tt>
<br>
<br>
<br><tt><font size=2>This is driving us nuts, so I'm wondering if we have
self-signed server certs or we're using our own private CA, etc. I'm inquiring
within, of course, just was curious what others had done here.</font></tt>
<br>
<br><tt><font size=2>Many thanks,</font></tt>
<br>
<br><tt><font size=2>Joe </font></tt>