<div dir="ltr">I've been using it on Lab boxes without issue.  The 90 day expiry is a pain but for lab acceptable atm.<div><br></div><div>In terms of generating / renewing the certs, you can use the web server validation process outlined by Ryan, but you can also use DNS record validation (which is what I've been doing).  Whether you're able to do that for your environment is the question.</div><div><br></div><div>For reference, the certs load up fine and all services appear to work as far as my testing goes (it is a standard cert of course).  Expressways and Phone Reg via MRA also works fine when using the LE Certs.  Wasn't sure it was going to due to the specific list of certs the devices registering via MRA can support, but all worked well.</div><div><br></div><div>I did come across <a href="https://www.yarnlab.io/certmate/">https://www.yarnlab.io/certmate/</a> (though not actually tested it) which appeared (at least on the Expressways) to do the renewal process automatically using the available api's.</div><div><br></div><div>Nathan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 26, 2017 at 10:28 PM, Lelio Fulgenzi <span dir="ltr"><<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_-1311673503735520525WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Thanks – you outlined the issues as I suspected them.
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I was thinking more about the admin gui for things like CIMC, and other non-client facing services. But again, the same issues apply.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Hopefully they modify their model slightly for appliance based systems –or- the partners that are participating build a Let’s Encrypt option for the certificates
 in their products. <u></u><u></u></span></p><span class="">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">---<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Lelio Fulgenzi, B.A.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Senior Analyst, Network Infrastructure<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Computing and Communications Services (CCS)<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">University of Guelph<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><a href="tel:(519)%20824-4120" value="+15198244120" target="_blank">519-824-4120 Ext 56354</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><a href="http://www.uoguelph.ca/ccs" target="_blank">www.uoguelph.ca/ccs</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Room 037, Animal Science and Nutrition Building<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Guelph, Ontario, N1G 2W1<u></u><u></u></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
</span><div>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ryan Huff [mailto:<a href="mailto:ryanhuff@outlook.com" target="_blank">ryanhuff@outlook.com</a>]
<br>
<b>Sent:</b> Tuesday, September 26, 2017 10:24 AM<br>
<b>To:</b> Lelio Fulgenzi; voyp list, cisco-voip (<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a>)<br>
<b>Subject:</b> Re: let's encrypt for local admin gui pages<u></u><u></u></span></p>
</div>
</div><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<div id="m_-1311673503735520525divtagdefaultwrapper">
<p><span style="font-family:"Calibri","sans-serif";color:black">Its theoretically possible to take the CUCM tomcat CSR and use it to get LE to sign a cert, then take the resulting cert and attempt to upload it to CUCM however; if it worked, LE only signs certificates
 for 90 days. So if you did get it to work, you'd have to do it every 90 days (the built in LE package on other Linux distros have built in tools to auto manage the renewal process, but no way to do it with CUCM).<u></u><u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">... but thats if the moon is blue and you have a winning lotto ticket. To even get to that point, would be a feat; let me explain.<u></u><u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">The way LE for Linux signs certs is to install local software on the web server that will do an automatic Internet based FQDN check (meaning it automatically looks up the FQDN from the perspective
 of the Internet) during the signing request. Once it finds the domain, it queries for a specific item within the web path to verify that domain belongs to the same person that started the certification signing request (this isn't a lot different than the way
 Google or GoDaddy does it). However, the CSR must exist in a specific location on the server you are trying to sign the cert for. Once all criteria is met, LE automatically creates a vaild SSL certificate for the web server that is signed for 90 days and installs
 it on the web server.<u></u><u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">So in order to even try and get this to sign a cert for a CUCM CSR you'd have to;<u></u><u></u></span></p>
<ul type="disc">
<li class="MsoNormal" style="color:black">
<span style="font-family:"Calibri","sans-serif"">Create an Internet facing Linux web server that mimics all the network details of the CUCM server and try to get LE to sign the CUCM CSR on that web server (you'd take CUCM's CSR and upload it to the Linux Web
 Server).<u></u><u></u></span></li><li class="MsoNormal" style="color:black">
<span style="font-family:"Calibri","sans-serif"">Extract the signed .pem from the web server and attempt to upload to CUCM as a tomcat (you'll also need to grab LE's root CA and upload it to the tomcat-trust)<u></u><u></u></span></li></ul>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">In theory it might work, but is a helluva effort for 90 days just to get free certs, then do it all over again. Now if you got it to work and had a good workflow every 90 days ... maybe not that
 bad? The other thing to consider that I'm not sure about in CMR cases (thinking if you tried this on an Expressway Edge) is if Cisco Collab Cloud (i.e WebEx) would trust the CA.<u></u><u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">Thanks,<u></u><u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<p><span style="font-family:"Calibri","sans-serif";color:black">Ryan<u></u><u></u></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Calibri","sans-serif";color:black"><u></u> <u></u></span></p>
<div>
<div class="MsoNormal" align="center" style="text-align:center"><span style="font-family:"Calibri","sans-serif";color:black">
<hr size="2" width="98%" align="center">
</span></div>
<div id="m_-1311673503735520525divRplyFwdMsg">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> cisco-voip <<a href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.<wbr>nether.net</a>>
 on behalf of Lelio Fulgenzi <<a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a>><br>
<b>Sent:</b> Tuesday, September 26, 2017 10:00 AM<br>
<b>To:</b> voyp list, cisco-voip (<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a>)<br>
<b>Subject:</b> [cisco-voip] let's encrypt for local admin gui pages</span><span style="font-family:"Calibri","sans-serif";color:black">
<u></u><u></u></span></p>
<div>
<p class="MsoNormal"><span style="font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
</div>
<div>
<div>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Has anyone been successful in deploying Let’s Encrypt certificates on appliance based gui’s? Seems like Let’s Encrypt is a cloud based service, which has proxy support, but it’s
 still client based with short certificate periods.<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">---<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Lelio Fulgenzi, B.A.<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Senior Analyst, Network Infrastructure<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Computing and Communications Services (CCS)<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">University of Guelph<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><a href="tel:(519)%20824-4120" value="+15198244120" target="_blank">519-824-4120 Ext 56354</a><u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><a href="mailto:lelio@uoguelph.ca" target="_blank">lelio@uoguelph.ca</a><u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"><a href="http://www.uoguelph.ca/ccs" target="_blank">www.uoguelph.ca/ccs</a><u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Room 037, Animal Science and Nutrition Building<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Guelph, Ontario, N1G 2W1<u></u><u></u></span></p>
<p><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
</div>
</div>
</div>
</div></div></div>
</div>

<br>______________________________<wbr>_________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/cisco-voip</a><br>
<br></blockquote></div><br></div>