<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">This is the boat we were in as well, and I’ve learned some lessons here.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The bug that I posted about for Jabber mobile devices got me – since we’re MRA only I thought I broke it again and it took a while to figure out why. The bugs in Expressway <X12.5.7 where replication fails for CPL and the login banner got

 me for a while thinking I’d just broken the cluster due to the replication failed alarms.  I nearly forgot to reset all the phones after restarting TVS but … well fool me once on that one.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I learned that the Expressway doesn’t have any real certificate “monitor”, and if you put an EC cert from an intermediate into the ipsec-trust keychain you will break that service, it will just core endlessly.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">How is everyone keeping track of the certificates that they have out there, and that they’re coming up due for replacement? Outlook calendars are no good, and neither are the notices from the issuing CA. I have to be missing something obvious.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Best,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Adam<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> cisco-voip <cisco-voip-bounces@puck.nether.net>

<b>On Behalf Of </b>Derek Andrew<br>

<b>Sent:</b> Wednesday, June 3, 2020 10:20 AM<br>

<b>To:</b> Anthony Holloway <avholloway+cisco-voip@gmail.com><br>

<b>Cc:</b> voyp list, cisco-voip (cisco-voip@puck.nether.net) <cisco-voip@puck.nether.net><br>

<b>Subject:</b> Re: [cisco-voip] Resolving Sectigo root expiration affecting MRA<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">If you had previously installed the certs on CUCM CUP CUC and CER as we did, they would also have expired.<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Wed, Jun 3, 2020 at 7:34 AM Anthony Holloway <<a href="mailto:avholloway%2Bcisco-voip@gmail.com">avholloway+cisco-voip@gmail.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div style="border:solid #9C6500 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">

<p class="MsoNormal" style="line-height:12.0pt;background:#FFEB9C"><span style="font-size:10.0pt;color:#9C6500">CAUTION:</span><span style="font-size:10.0pt;color:black"> This email originated from outside of the University of Saskatchewan. Do not click links

 or open attachments unless you recognize the sender and know the content is safe. If in doubt, please forward suspicious emails to

<a href="mailto:phishing@usask.ca" target="_blank">phishing@usask.ca</a><o:p></o:p></span></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<div>

<p class="MsoNormal">Hunter, <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I might be exposing a gap in my knowledge here, but why did you need these certs on CUCM? <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Cisco has now published a troubleshooting guide for this issue, and the article does not mention modifying CUCM cert store.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html" target="_blank">https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html</a><o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Sat, May 30, 2020 at 7:02 PM Hunter Fuller <<a href="mailto:hf0002@uah.edu" target="_blank">hf0002@uah.edu</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal">All, <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If you use certs whose trust is derived from the Sectigo root that expired today, and your MRA isn’t working, I’ll try to save you a call to TAC. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Do all of these things:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"> - Load the new intermediates and root into callmanager-trust and tomcat-trust on all your UCMs<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> - restart tomcat, tftp, and callmanager on those boxes<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> - load the new intermediates and root into the CA trust store on all expressways <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> - reboot the Expressway-Es <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If you need more detail or help, let me know, we just got off the phone with TAC. Hope it helps. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal">-- <o:p></o:p></p>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"><br>

--<br>

Hunter Fuller (they)<br>

Router Jockey<br>

VBH Annex B-5<br>

+1 256 824 5331<br>

<br>

Office of Information Technology<br>

The University of Alabama in Huntsville<br>

Network Engineering<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><o:p></o:p></p>

</blockquote>

</div>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <o:p></o:p></p>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal">Copyright 2020 Derek Andrew (excluding quotations)<br>

<br>

+1 306 966 4808<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Communication and Network Services</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt">Information and Communications Technology</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><b>University of Saskatchewan<br>

</b><span style="font-size:7.5pt">Peterson 120; 54 Innovation Boulevard<br>

Saskatoon,Saskatchewan,Canada. S7N 2V3<br>

Timezone GMT-6</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Typed but not read.<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</body>

</html>