<div dir="ltr">Actually, I'm starting to think on this some more, I think it might be because of two facts, but please confirm:<div><br></div><div>1) You signed your C certs with a public CA which leverages these expired CA certs</div><div>2) You enabled TLS verification between CUCM and C (both MRA and B2B?)</div><div><br></div><div>I don't typically see encryption on the inside like this, though, I do see it mentioned in the steps for MRA as if it were a requirement (e.g., how it says to copy the names of the phone sec prof for the cert).  Though, I also don't see a lot of B2B deployments where you might want E2E encryption either.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 3, 2020 at 8:28 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com">avholloway+cisco-voip@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Hunter,<div><br></div><div>I might be exposing a gap in my knowledge here, but why did you need these certs on CUCM? </div><div><br></div><div>Cisco has now published a troubleshooting guide for this issue, and the article does not mention modifying CUCM cert store.</div><div><br></div><div><a href="https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html" target="_blank">https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html</a><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 30, 2020 at 7:02 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div dir="auto">All, </div><div dir="auto"><br></div><div dir="auto">If you use certs whose trust is derived from the Sectigo root that expired today, and your MRA isn’t working, I’ll try to save you a call to TAC. </div><div dir="auto"><br></div><div dir="auto">Do all of these things:</div><div dir="auto"><br></div><div dir="auto"> - Load the new intermediates and root into callmanager-trust and tomcat-trust on all your UCMs</div><div dir="auto"> - restart tomcat, tftp, and callmanager on those boxes</div><div dir="auto"> - load the new intermediates and root into the CA trust store on all expressways </div><div dir="auto"> - reboot the Expressway-Es </div><div dir="auto"><br></div><div dir="auto">If you need more detail or help, let me know, we just got off the phone with TAC. Hope it helps. </div><div dir="auto"><br></div>
</div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><br>--<br>Hunter Fuller (they)<br>Router Jockey<br>VBH Annex B-5<br>+1 256 824 5331<br><br>Office of Information Technology<br>The University of Alabama in Huntsville<br>Network Engineering</div></div></div></div></div>
_______________________________________________<br>
cisco-voip mailing list<br>
<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
</blockquote></div>
</blockquote></div>