<div dir="ltr"><div>We are doing a lot more than MRA, but it all kinda got wrapped up together. The initial report being "Jabber no worky," and of course I know it's cert related, but in my head I'm like, "well that's either an Expressway-E issue or a CUCM issue or some issue with the traversal zone or..."</div><div><br></div><div>I guess if you don't use SSO, the certs probably matter a lot less. But if you do use SSO, a lot of things happen that look like MRA issues but are actually SSO sign-in or ticket issues.</div><div><br></div><div>Regarding monitoring cert expiration, emails from the CA are our go-to, but it doesn't help when it's their damn root that's expiring. They were shockingly silent on that, and when they did say something, it was basically "this won't affect anything!" Wow, thanks.<br></div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 12:26 PM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ah ok, in your original email you only mentioned MRA, and so I was very focused on how CUCM might need certs in the store for MRA.  You are in fact doing more than just MRA.  Got it.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 11:35 AM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>We have a handful of reasons for the certs in CUCM, some to do with MRA, some not.<br></div><div><br></div><div> - Users use the Self Care Portal, and some pickier browsers don't like being sent the wrong root.</div><div> - Something to do with SSO? I was never super clear on this. Either our SSO IdP didn't trust the cert from UCM or the other way around. We fixed both at the same time, so I guess I will never know.</div><div> - We are, in fact, checking crypto for all the Expressway tunnels (ExpE-ExpC tunnel as well as ExpC-CUCM).</div><div><br></div><div>Honorable mention:</div><div> - Because it's a bad idea to leave expired certs laying around in there, and I never know what one of my colleagues may have configured that relies on the TLS verify working. :)<br></div><div><div><div><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div></div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 8:28 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com" target="_blank">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hunter,<div><br></div><div>I might be exposing a gap in my knowledge here, but why did you need these certs on CUCM? </div><div><br></div><div>Cisco has now published a troubleshooting guide for this issue, and the article does not mention modifying CUCM cert store.</div><div><br></div><div><a href="https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html" target="_blank">https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html</a><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 7:02 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">All, </div><div dir="auto"><br></div><div dir="auto">If you use certs whose trust is derived from the Sectigo root that expired today, and your MRA isn’t working, I’ll try to save you a call to TAC. </div><div dir="auto"><br></div><div dir="auto">Do all of these things:</div><div dir="auto"><br></div><div dir="auto"> - Load the new intermediates and root into callmanager-trust and tomcat-trust on all your UCMs</div><div dir="auto"> - restart tomcat, tftp, and callmanager on those boxes</div><div dir="auto"> - load the new intermediates and root into the CA trust store on all expressways </div><div dir="auto"> - reboot the Expressway-Es </div><div dir="auto"><br></div><div dir="auto">If you need more detail or help, let me know, we just got off the phone with TAC. Hope it helps. </div><div dir="auto"><br></div>
</div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</blockquote></div>
</blockquote></div>
</blockquote></div>
</blockquote></div>