<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">Ryan, thanks very much for the review and feedback, it was very helpful to understand how TVS fits into the picture for scenarios like this.</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">In the case of my situation, the goal is to move devices from one mixed-mode cluster to another mixed-mode cluster, and the CTLs on both clusters were NOT signed by the same tokens. I realize it's possible to manually add additional tokens to one side or the other and make both CTL files have the same token list and signing token. However, I am trying to see if it's possible to avoid some of those steps.</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Is it definitely the case that there is no way to import the eToken's cert? The following doc seems to indicate one can export the eToken cert to a file using the Safenet tool that comes with the CTL client, and from there it could be imported as a Phone-SAST-trust cert. In the flow they explained (moving from tokenless mixed mode to eToken mixed mode), it appears they add the eTokens as Phone-SAST-trust so that phones can learn via TVS to trust the new tokens, as phone's current CTL doesn't contain them at all.</div><div class="gmail_default"><font face="tahoma, sans-serif"><a href="http://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118893-technote-cucm-00.html">http://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118893-technote-cucm-00.html</a></font><br></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Wouldn't you think following that same logic (adding the additional eToken certs as Phone-SAST-trust) would allow TVS-aware devices to move from one eToken mixed mode cluster to another eToken mixed mode cluster - even when each cluster uses its own eTokens?</font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 13, 2015 at 9:35 AM, Ryan Ratliff (rratliff) <span dir="ltr"><<a href="mailto:rratliff@cisco.com" target="_blank">rratliff@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word">

Inline.

<div><br>

</div>

<div><br>

<div>-Ryan </div><span class="">

<br>

<div>

<div></div>

</div>

<blockquote type="cite">

<div>

<div>On Aug 12, 2015, at 11:23 PM, Dave Goodwin <<a href="mailto:Dave.Goodwin@december.net" target="_blank">Dave.Goodwin@december.net</a>> wrote:</div>

<br>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">Ryan, let me lay out an example to make sure I understand. Please note that I haven't found anywhere that this has been well-explained, so I am laying out the following logic flow as a guess. Hopefully

 it's at least close; please set me straight. Say we have an old cluster and a new cluster, and that I want to move phones registered to the old cluster to instead register to the new cluster. Are you saying:</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">

<ol>

<li>Download the CallManager.pem from new cluster pub and upload that cert as phone-trust to the old cluster. This will enable the old cluster TVS to have TVS-aware phones trust the new cluster.<br>

</li></ol>

</div>

</div>

</div>

</div>

</blockquote>

</span><div>Correct.  I’d do this between both clusters so phones can move back and forth. </div><span class="">

<br>

<blockquote type="cite">

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">

<ol start="2">

<li>When the phone is told (say, via change in DHCP option 150 value) to register to the new cluster, it will fail to authenticate the new cluster's CTL file due to a different file signer.<br>

</li><li>So, the phone will then connect with its already-trusted TVS server in the old cluster. At this point, since the new cluster pub cert was added as phone-trust in the old cluster, TVS will instruct the phone to trust the cert.<br>

</li></ol>

</div>

</div>

</div>

</div>

</blockquote>

</span><div>Correct, phone will get CTLsepmac.tlv from the new cluster first, reach out to OLD TVS to validate it. </div><span class="">

<br>

<blockquote type="cite">

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">

<ol start="4">

<li>Then, based on TVS's go-ahead, the phone will now load and install the new cluster CTL file.<br>

</li></ol>

</div>

</div>

</div>

</div>

</blockquote></span>

Correct.<span class=""><br>

<blockquote type="cite">

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">

<ol start="5">

<li>At this stage, the phone will trust only the entries in the new cluster CTL file - and also any certs that the new cluster's TVS can trust.<br>

</li></ol>

</div>

</div>

</div>

</div>

</blockquote></span>

The phone won’t use the new TVS until it gets a config file from the new cluster. Since the CTL should allow it to update the ITL and trust the new config file there should be no need for TVS after the CTL is loaded.</div>

<div><span class=""><br>

<blockquote type="cite">

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">Also, it seems like this procedure would also work with the token-based CTL client, as long as TVS is present and all the moving endpoints support TVS.</div>

</div>

</div>

</div>

</blockquote>

<div><br>

</div>

</span><div>Except that the token-based CTL file is signed by the eToken and you can’t import that cert.  The key to moving between clusters with tokens is that the CTLs on both clusters are signed by the same tokens.</div><div><div class="h5">

<br>

<blockquote type="cite">

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">-Dave</div>

</div>

<div class="gmail_extra"><br>

<div class="gmail_quote">On Wed, Aug 12, 2015 at 10:45 PM, Brian Meade <span dir="ltr">

<<a href="mailto:bmeade90@vt.edu" target="_blank">bmeade90@vt.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Ryan, would you need to add the other cluster in the TFTP server list?  I know I usually had to do this with the actual CTL client but not sure how this would work in tokenless unless there's a CLI command for it.</div>

<div>

<div>

<div class="gmail_extra"><br>

<div class="gmail_quote">On Wed, Aug 12, 2015 at 10:03 PM, Ryan Ratliff (rratliff)

<span dir="ltr"><<a href="mailto:rratliff@cisco.com" target="_blank">rratliff@cisco.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="word-wrap:break-word">The tokenless CTL is signed by the CallManager.pem on the publisher.  Upload that cert as a phone-trust cert and TVS on that cluster will be able to authenticate files signed by that cert.

<div><br>

</div>

<div><span style="white-space:pre-wrap"></span>CTL Record #:1<br>

<span style="white-space:pre-wrap"></span>          ----<br>

BYTEPOS<span style="white-space:pre-wrap"> </span>TAG<span style="white-space:pre-wrap">

</span>LENGTH<span style="white-space:pre-wrap"> </span>VALUE<br>

-------<span style="white-space:pre-wrap"> </span>---<span style="white-space:pre-wrap">

</span>------<span style="white-space:pre-wrap"> </span>-----<br>

1<span style="white-space:pre-wrap"> </span>RECORDLENGTH<span style="white-space:pre-wrap">

</span>2<span style="white-space:pre-wrap"> </span>1701<br>

2<span style="white-space:pre-wrap"> </span>DNSNAME<span style="white-space:pre-wrap">

</span>20<span style="white-space:pre-wrap"> </span>videolab-ucm11a-pub<br>

3<span style="white-space:pre-wrap"> </span>SUBJECTNAME<span style="white-space:pre-wrap">

</span>70<span style="white-space:pre-wrap"> </span>CN=videolab-ucm11a-pub.videolab.local;OU=TAC;O=Cisco;L=NC;ST=RTP;C=US<br>

4<span style="white-space:pre-wrap"> </span>FUNCTION<span style="white-space:pre-wrap">

</span>2<span style="white-space:pre-wrap"> </span>System Administrator Security Token<br>

5<span style="white-space:pre-wrap"> </span>ISSUERNAME<span style="white-space:pre-wrap">

</span>70<span style="white-space:pre-wrap"> </span>CN=videolab-ucm11a-pub.videolab.local;OU=TAC;O=Cisco;L=NC;ST=RTP;C=US<br>

6<span style="white-space:pre-wrap"> </span>SERIALNUMBER<span style="white-space:pre-wrap">

</span>16<span style="white-space:pre-wrap"> </span><font color="#ff4013">52:0B:74:69:CF:4F:5A:CD:5B:48:6F:EE:99:9E:E0:B8</font><br>

7<span style="white-space:pre-wrap"> </span>PUBLICKEY<span style="white-space:pre-wrap">

</span>270<span style="white-space:pre-wrap"> </span><br>

8<span style="white-space:pre-wrap"> </span>SIGNATURE<span style="white-space:pre-wrap">

</span>256<span style="white-space:pre-wrap"> </span><br>

9<span style="white-space:pre-wrap"> </span>CERTIFICATE<span style="white-space:pre-wrap">

</span>961<span style="white-space:pre-wrap"> </span>76 5D 15 01 0E 41 0D 16 BE EA 8A 98 29 33 EE 27 B6 3E D3 01 (SHA1 Hash HEX)<br>

10<span style="white-space:pre-wrap"> </span>IPADDRESS<span style="white-space:pre-wrap">

</span>4<span style="white-space:pre-wrap"> </span><br>

This etoken was used to sign the CTL file.<br>

<br>

<br>

</div>

<div>admin:show cert own CallManager/CallManager.pem<br>

[<br>

  Version: V3<br>

  Serial Number: <font color="#e32400">520B7469CF4F5ACD5B486FEE999EE0B8</font></div>

<div>…</div>

<div><br>

</div>

<div><br>

<div>

<div> -</div>

<div>Ryan </div>

<br>

<div>

<div>

<div>

<div>On Aug 12, 2015, at 9:06 PM, Dave Goodwin <<a href="mailto:Dave.Goodwin@december.net" target="_blank">Dave.Goodwin@december.net</a>> wrote:</div>

<br>

</div>

</div>

<div>

<div>

<div>

<div dir="ltr">

<div class="gmail_default" style="font-family:tahoma,sans-serif">For anyone who has an environment with multiple mixed mode clusters (CTL file is present), do you know of a way to move devices from one cluster to another?</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">Using the eToken SAST (physical USB devices), it seems you can do this by using the same signing token to sign the CTL file on each cluster. With the new tokenless CTL client, it seems each cluster's

 publisher private key is used to sign that cluster's CTL file - so it seems the old way will not work.</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">I realize it can be done by deleting the CTL file on the phone (or factory reset) if you're standing in front of it, and I also realize there are commercial software tools that can perform feats

 like this (like UnifiedFX and other competitive offerings). I am looking for a way to do this without either of those methods.</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif"><br>

</div>

<div class="gmail_default" style="font-family:tahoma,sans-serif">-Dave</div>

</div>

</div>

</div>

_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

</div>

</div>

<br>

</div>

</div>

</div>

<br>

_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<br>

</blockquote>

</div>

<br>

</div>

</div>

</div>

</blockquote>

</div>

<br>

</div>

</div>

</div>

<br>

</blockquote>

</div></div></div>

</div>

</blockquote></div><br></div>