<div dir="ltr">Ah ok, in your original email you only mentioned MRA, and so I was very focused on how CUCM might need certs in the store for MRA.  You are in fact doing more than just MRA.  Got it.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 11:35 AM Hunter Fuller <<a href="mailto:hf0002@uah.edu">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>We have a handful of reasons for the certs in CUCM, some to do with MRA, some not.<br></div><div><br></div><div> - Users use the Self Care Portal, and some pickier browsers don't like being sent the wrong root.</div><div> - Something to do with SSO? I was never super clear on this. Either our SSO IdP didn't trust the cert from UCM or the other way around. We fixed both at the same time, so I guess I will never know.</div><div> - We are, in fact, checking crypto for all the Expressway tunnels (ExpE-ExpC tunnel as well as ExpC-CUCM).</div><div><br></div><div>Honorable mention:</div><div> - Because it's a bad idea to leave expired certs laying around in there, and I never know what one of my colleagues may have configured that relies on the TLS verify working. :)<br></div><div><div><div><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div></div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 8:28 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com" target="_blank">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hunter,<div><br></div><div>I might be exposing a gap in my knowledge here, but why did you need these certs on CUCM? </div><div><br></div><div>Cisco has now published a troubleshooting guide for this issue, and the article does not mention modifying CUCM cert store.</div><div><br></div><div><a href="https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html" target="_blank">https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html</a><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 7:02 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">All, </div><div dir="auto"><br></div><div dir="auto">If you use certs whose trust is derived from the Sectigo root that expired today, and your MRA isn’t working, I’ll try to save you a call to TAC. </div><div dir="auto"><br></div><div dir="auto">Do all of these things:</div><div dir="auto"><br></div><div dir="auto"> - Load the new intermediates and root into callmanager-trust and tomcat-trust on all your UCMs</div><div dir="auto"> - restart tomcat, tftp, and callmanager on those boxes</div><div dir="auto"> - load the new intermediates and root into the CA trust store on all expressways </div><div dir="auto"> - reboot the Expressway-Es </div><div dir="auto"><br></div><div dir="auto">If you need more detail or help, let me know, we just got off the phone with TAC. Hope it helps. </div><div dir="auto"><br></div>
</div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</blockquote></div>
</blockquote></div>
</blockquote></div>