
<tt><font size=2>Rob Dawson <rdawson@force3.com> wrote on 03/19/2015


10:50:55 AM:<br>


 <br>


> What document are you looking at?</font></tt>


<br>


<br><tt><font size=2>Cisco Jabber for Windows 9.7 Installation and Configuration


Guide</font></tt>


<br>


<br><tt><font size=2>> As far as I know the only certificate “push”


would be done via GPO <br>


> or some similar mechanism. During the SSL handshake the server <br>


> certificate is sent to the client and the client will attempt to <br>


> validate either the cert itself, or the signing authority, against


<br>


> its trust list. If the certificate is not in the trust list then the<br>


> client will be offered the opportunity to trust/add it to its store,<br>


> but this is the server cert, not the root cert. If however the CA


<br>


> root cert (public or private) OR the privately signed cert is <br>


> already in the trust list then it should work with no further <br>


> intervention or prompting. Once the client trusts the certificate


<br>


> then the key exchange happens.</font></tt>


<br><tt><font size=2>> I can’t really think of anytime that it would


a solid decision, <br>


> security wise, to allow a piece of software to install a trusted <br>


> root certificate.</font></tt>


<br>


<br>


<br><tt><font size=2>I'm thinking the action that we take on CUCM, which


we refer to as 'pushing a cert to the Jabber client' is the following:</font></tt>


<br>


<br><tt><font size=2>--------</font></tt>


<br>


<br><tt><font size=2>Import Root Certificates on Client Computers</font></tt>


<br>


<br><tt><font size=2>Every server certificate should have an associated


root certificate present in the trust store on client computers. Cisco


Jabber validates the certificates that servers present against the root


certificates in the trust store. If you get server certificates signed


by a public CA, the public CA should already have a root certificate present


in the trust store on the client computer. In this case, you do not need


to import root certificates on the client computers.</font></tt>


<br>


<br><tt><font size=2>You should import root certificates into the Microsoft


Windows certificate store if:</font></tt>


<br>


<br><tt><font size=2>• The certificates are signed by a CA that does not


already exist in the trust store, such as a private CA.</font></tt>


<br>


<br><tt><font size=2>Import the private CA certificate to the Trusted Root


Certification Authorities store.</font></tt>


<br>


<br><tt><font size=2>• The certificates are self-signed.</font></tt>


<br>


<br><tt><font size=2>Import self-signed certificates to the Enterprise


Trust store.</font></tt>


<br>


<br><tt><font size=2>--------</font></tt>


<br>


<br>


<br><tt><font size=2>This is driving us nuts, so I'm wondering if we have


self-signed server certs or we're using our own private CA, etc. I'm inquiring


within, of course, just was curious what others had done here.</font></tt>


<br>


<br><tt><font size=2>Many thanks,</font></tt>


<br>


<br><tt><font size=2>Joe </font></tt>