<div dir="ltr">Oh, I didn't know about that issue, but it explains why you have to restart TFTP. Anything that takes a restart for tomcat will also take a restart for tomcat-trust.<br><br>Why? Because Tomcat (and most apps) ship the server cert *and intermediates* with the TLS transaction. Cisco Unified stuff seems to generate the intermediate chain from the tomcat-trust chain. So any time you alter tomcat-trust, you have to restart everything that serves the tomcat cert, so that it will start serving the correct intermediates. (This is also why you have to reboot Expressway-E when changing the root and intermediates. It doesn't tell you this when you change them, but it will not start shipping the new root and intermediates with its transactions until it is rebooted - and MRA phones will not work in that state!)<br><br>For example, here I am connecting to our TFTP port using the OpenSSL CLI and grepping for the cert CNs, and you can see it is actually sending FOUR certs - not just the server cert. The other three are from tomcat-trust.<br><br>hf0002@burrito ~$ openssl s_client -connect <a href="http://vbhucmpub.voip.uah.edu:6972">vbhucmpub.voip.uah.edu:6972</a> -showcerts -prexit 2>/dev/null | grep -E '[0-9] s:'<br> 0 s:/C=US/ST=Alabama/L=Huntsville/O=The University of Alabama in Huntsville/OU=Office of Information Technology (OIT)/CN=<a href="http://libimsub-ms.voip.uah.edu">libimsub-ms.voip.uah.edu</a><br> 1 s:/C=US/ST=MI/L=Ann Arbor/O=Internet2/OU=InCommon/CN=InCommon RSA Server CA<br> 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority<br> 3 s:/C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services<br><br><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering<br></div><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, May 31, 2020 at 2:16 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Probably confusion with the tomcat cert, versus the tomcat-trust.<div><br></div><div>Remember this defect? <a href="https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuy13916" target="_blank">https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuy13916</a></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 7:11 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">I was wondering the same thing. You may be able to skip that one, but it advises you to restart it when updating the callmanager-trust store, so we did it. </div></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 19:10 Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com" target="_blank">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">MVP<div><br></div><div>But why restart TFTP?</div></div><br><div class="gmail_quote"></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 7:02 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"></blockquote></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">All, </div><div dir="auto"><br></div><div dir="auto">If you use certs whose trust is derived from the Sectigo root that expired today, and your MRA isn’t working, I’ll try to save you a call to TAC. </div><div dir="auto"><br></div><div dir="auto">Do all of these things:</div><div dir="auto"><br></div><div dir="auto"> - Load the new intermediates and root into callmanager-trust and tomcat-trust on all your UCMs</div><div dir="auto"> - restart tomcat, tftp, and callmanager on those boxes</div><div dir="auto"> - load the new intermediates and root into the CA trust store on all expressways </div><div dir="auto"> - reboot the Expressway-Es </div><div dir="auto"><br></div><div dir="auto">If you need more detail or help, let me know, we just got off the phone with TAC. Hope it helps. </div><div dir="auto"><br></div>
</div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div></blockquote></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</blockquote></div>
</blockquote></div></div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div>
</blockquote></div>
</blockquote></div>