<div dir="ltr">You still are going to have issues with phones that were offline when the new cert was pushed.  For a large regen project, we just plan to have everyone make sure their phones are online but you can't do this every couple of months.<div><br></div><div>With websites, people don't have persistent connections as well so it's easy to switch certs.</div><div><br></div><div>Anyone know of any persistent services able to use technology like Let'sEncrypt without dropping connections?<br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 23, 2017 at 3:29 PM, Dave Cardwell <span dir="ltr"><<a href="mailto:dave.cardwell1@gmail.com" target="_blank">dave.cardwell1@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><br>
</div>
<div>The bigger problem is the automatic phone reset. <span class="m_150597442788381373m_-7754333688865238740HOEnZb"><font color="#888888"><br>
<div class="m_150597442788381373m_-7754333688865238740h5">-Rya<br>
</div></font></span></div></div></blockquote><div><br></div></span><div>Well fix the phones, why do they need to reset to support new certificates?  <br><br>Key rotation is a long solved problem, push out the new new certificate when its generated after 60 days but don't activate it on the server.  The phones should now trust both the new one and the old one (until it expires 30 days later), then activate the new one on the server a couple of days before the old one expires.  Once the phones can import certificates without reloading the switch-over on the server side should be a non-issue.<br><br></div><div><br></div><div><br><br></div></div></div></div>
<br>______________________________<wbr>_________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>