<div dir="ltr">Looks like I need to get my Tomcat certs signed before I can test this out after all.. the CN for the tomcat and callmanager certs (self-signed) right now on my cluster are the same and expressway won't setup the initial connection. <div><br></div><div>The good news is I can get our internal CA to sign them which is the same one that signed my expc cert and that I just uploaded, i just need to go back and review the implications of doing this.. if I recall changing the tomcat cert isn't a huge deal. I had just planned on waiting until we were at cucm 10.x before I did that.<div><br></div><div>As Jason said, the CA cert did get replicated to the rest of the nodes in the cluster automagically.</div><div><br></div><div>One odd thing I noticed after I uploaded it was that a Cisco_Root_CA_2048.pem (another callmanger-trust cert) also took on the certificate description that I gave the CA cert.</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 28, 2015 at 11:10 AM, Jason Burns <span dir="ltr"><<a href="mailto:burns.jason@gmail.com" target="_blank">burns.jason@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Brian, since it's a trust cert you shouldn't need to upload it to every node. The certificate replication process I talked about previously in this thread handles putting the trust cert on all CUCM servers. Also - since it's a trust cert you're right - no resets of phones anywhere.<div><br></div><div>Since this is a trust cert for CallManager to talk to an external party (specifically the SIP process) you will probably need to restart the CCM process before SIP TLS calls will complete between the VCS and CUCM. Certs need to be validated when the SIP TLS session is established, and this trust database in the CCM process is not dynamic as far as I know. It loads the trust certs on process start and that's it. Although - I might be wrong on this.. I've done SIP TLS to gateways and I don't remember if we always needed to restart CCM. </div><div><br></div><div>Let us know if calls work without restarting CCM!</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 28, 2015 at 10:45 AM, Brian Meade <span dir="ltr"><<a href="mailto:bmeade90@vt.edu" target="_blank">bmeade90@vt.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've seen it work most of the time just adding the CallManager-trust.  On one occasion, I did have to restart the CallManager service for it to take affect.  Make sure to upload to every node.<div><br></div><div>You also shouldn't see any phone reboots for adding a CallManager-trust.  That would only be in the case you end up having to restart the CallManager service.</div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 28, 2015 at 10:37 AM, Ed Leatherman <span dir="ltr"><<a href="mailto:ealeatherman@gmail.com" target="_blank">ealeatherman@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">It's not a tomcat-trust cert though, the docs (and expressway) say it needs to go in the callmanager-trust</div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Thu, May 28, 2015 at 10:25 AM, Charles Goldsmith <span dir="ltr"><<a href="mailto:wokka@justfamily.org" target="_blank">wokka@justfamily.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Just restart Tomcat</div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 28, 2015 at 8:21 AM, Ed Leatherman <span dir="ltr"><<a href="mailto:ealeatherman@gmail.com" target="_blank">ealeatherman@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Good morning!<div><br></div><div>Cert related question - think I know the answer but I dont see it explicitly stated so figured I'd ask. </div><div><br></div><div>I need to add the CA cert for my expressway-C to call manager as a callmanager-trust cert - do I need to reboot the call manager service for this to take effect? No forced phone reboots since this is just a trust cert, correct? I think the answer is no and no phone reboots.</div><div><br></div><div>Thanks!</div><div><br></div><div>Ed</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Mon, May 18, 2015 at 10:46 AM, Brian Meade <span dir="ltr"><<a href="mailto:bmeade90@vt.edu" target="_blank">bmeade90@vt.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Ed,<div><br></div><div>All phones re-registering is expected behavior for when any CallManager, CAPF, or TVS certificate on any node in the cluster is regenerated.  This is to allow phones to download an updated ITL before another certificate change is made.  This is also the same reason all phones re-register when adding a new node to a cluster.</div><div><br></div><div>Tomcat-trusts usually automatically get updated via the Certificate Change Notification process.  There has been a few times I've seen conflicts that caused this not to work right though.</div><span><font color="#888888"><div><br></div><div>Brian</div></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Sun, May 17, 2015 at 10:06 AM, Ed Leatherman <span dir="ltr"><<a href="mailto:ealeatherman@gmail.com" target="_blank">ealeatherman@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Good morning,<div><br></div><div>This morning I enabled DNS servers, domain name on our CUCM Cluster, which involved regenerating all the certs on the cluster. Note I have cluster mixed mode. Everything appears to have gone smoothly, but I had 2 odd things happen that I did not expect.. tossing them out here in case it helps someone else, or if someone has commentary on "why" :)</div><div><br></div><div>Reference: CUCM v9.1, mixed mode, never had dns servers or domain set before.</div><div><br></div><div>- After setting primary, secondary DNS and domain name, and the subsequent reboot on each node ALL my phones on the cluster restarted or at least re-registered each time, even for phones that do not use that node as a CM. Is this CM process restarting everywhere each time or ? I didnt think to check runtime on the CM process while I was working.</div><div><br></div><div>- I expected to have to import tomcat certificates back and forth to the publisher at each node once the certs were regenerated, as this was necessary in the past. Apparently now they automagically download them from each other? I went in to do it and the tomcat-trust was already there with the new domain name.</div><div><br></div><div>Cheers!</div><span><font color="#888888"><div><br></div><div>Ed<br clear="all"><div><br></div>-- <br><div>Ed Leatherman<br></div>
</div></font></span></div>
<br></div></div><span>_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br></span></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div>Ed Leatherman<br></div>
</font></span></div>
<br>_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div>Ed Leatherman<br></div>
</font></span></div>
<br>_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Ed Leatherman<br></div>
</div>