<div dir="ltr">Ryan, would you need to add the other cluster in the TFTP server list?  I know I usually had to do this with the actual CTL client but not sure how this would work in tokenless unless there's a CLI command for it.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 12, 2015 at 10:03 PM, Ryan Ratliff (rratliff) <span dir="ltr"><<a href="mailto:rratliff@cisco.com" target="_blank">rratliff@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word">

The tokenless CTL is signed by the CallManager.pem on the publisher.  Upload that cert as a phone-trust cert and TVS on that cluster will be able to authenticate files signed by that cert.

<div><br>

</div>

<div><span style="white-space:pre-wrap"></span>CTL Record #:1<br>

<span style="white-space:pre-wrap"></span>          ----<br>

BYTEPOS<span style="white-space:pre-wrap"> </span>TAG<span style="white-space:pre-wrap">

</span>LENGTH<span style="white-space:pre-wrap"> </span>VALUE<br>

-------<span style="white-space:pre-wrap"> </span>---<span style="white-space:pre-wrap">

</span>------<span style="white-space:pre-wrap"> </span>-----<br>

1<span style="white-space:pre-wrap"> </span>RECORDLENGTH<span style="white-space:pre-wrap">

</span>2<span style="white-space:pre-wrap"> </span>1701<br>

2<span style="white-space:pre-wrap"> </span>DNSNAME<span style="white-space:pre-wrap">

</span>20<span style="white-space:pre-wrap"> </span>videolab-ucm11a-pub<br>

3<span style="white-space:pre-wrap"> </span>SUBJECTNAME<span style="white-space:pre-wrap">

</span>70<span style="white-space:pre-wrap"> </span>CN=videolab-ucm11a-pub.videolab.local;OU=TAC;O=Cisco;L=NC;ST=RTP;C=US<br>

4<span style="white-space:pre-wrap"> </span>FUNCTION<span style="white-space:pre-wrap">

</span>2<span style="white-space:pre-wrap"> </span>System Administrator Security Token<br>

5<span style="white-space:pre-wrap"> </span>ISSUERNAME<span style="white-space:pre-wrap">

</span>70<span style="white-space:pre-wrap"> </span>CN=videolab-ucm11a-pub.videolab.local;OU=TAC;O=Cisco;L=NC;ST=RTP;C=US<br>

6<span style="white-space:pre-wrap"> </span>SERIALNUMBER<span style="white-space:pre-wrap">

</span>16<span style="white-space:pre-wrap"> </span><font color="#ff4013">52:0B:74:69:CF:4F:5A:CD:5B:48:6F:EE:99:9E:E0:B8</font><br>

7<span style="white-space:pre-wrap"> </span>PUBLICKEY<span style="white-space:pre-wrap">

</span>270<span style="white-space:pre-wrap"> </span><br>

8<span style="white-space:pre-wrap"> </span>SIGNATURE<span style="white-space:pre-wrap">

</span>256<span style="white-space:pre-wrap"> </span><br>

9<span style="white-space:pre-wrap"> </span>CERTIFICATE<span style="white-space:pre-wrap">

</span>961<span style="white-space:pre-wrap"> </span>76 5D 15 01 0E 41 0D 16 BE EA 8A 98 29 33 EE 27 B6 3E D3 01 (SHA1 Hash HEX)<br>

10<span style="white-space:pre-wrap"> </span>IPADDRESS<span style="white-space:pre-wrap">

</span>4<span style="white-space:pre-wrap"> </span><br>

This etoken was used to sign the CTL file.<br>

<br>

<br>

</div>

<div>admin:show cert own CallManager/CallManager.pem<br>

[<br>

  Version: V3<br>

  Serial Number: <font color="#e32400">520B7469CF4F5ACD5B486FEE999EE0B8</font></div>

<div>…</div>

<div><br>

</div>

<div><br>

<div>

<div> -</div>

<div>Ryan </div>

<br>

<div><div><div class="h5">

<div>On Aug 12, 2015, at 9:06 PM, Dave Goodwin <<a href="mailto:Dave.Goodwin@december.net" target="_blank">Dave.Goodwin@december.net</a>> wrote:</div>

<br>

</div></div><div><div><div class="h5">

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">For anyone who has an environment with multiple mixed mode clusters (CTL file is present), do you know of a way to move devices from one cluster to another?</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">Using the eToken SAST (physical USB devices), it seems you can do this by using the same signing token to sign the CTL file on each cluster. With the new tokenless CTL client, it seems each cluster's

 publisher private key is used to sign that cluster's CTL file - so it seems the old way will not work.</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">I realize it can be done by deleting the CTL file on the phone (or factory reset) if you're standing in front of it, and I also realize there are commercial software tools that can perform feats

 like this (like UnifiedFX and other competitive offerings). I am looking for a way to do this without either of those methods.</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">-Dave</div>

</div></div></div>

_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

</div>

</div>

<br>

</div>

</div>

</div>

<br>_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<br></blockquote></div><br></div>