<div dir="ltr">For SIP Phones, it shouldn't require mutual TLS if you have the Digest Authentication set under the Security Profile.<br><br>Do the CallManager traces show the incoming registration attempt and have anything interesting?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 21, 2021 at 7:41 PM Johnson, Tim <<a href="mailto:johns10t@cmich.edu">johns10t@cmich.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div lang="EN-US">

<div class="gmail-m_7065192492486186114WordSection1">

<p class="MsoNormal">Thanks for the suggestions so far! <u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I am using digest authentication. I have not tried restarting Tomcat, but since I did not upload anything to CallManager, I’m not sure it’ll be required. Either way, easy enough to try it!<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I know with a SIPS trunk, I was required to upload a client cert into CM-trust. I guess I was just hopeful that I wouldn’t have to do it with client devices because I can’t get my hands on the software to test myself, so I have to work

 through someone else. Hmm, maybe I’ll consider VPN if I can’t get it working otherwise.

<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">

<p class="MsoNormal"><b>From:</b> Adam Pawlowski <<a href="mailto:ajp26@buffalo.edu" target="_blank">ajp26@buffalo.edu</a>> <br>

<b>Sent:</b> Thursday, January 21, 2021 7:25 PM<br>

<b>To:</b> Kent Roberts <<a href="mailto:kent@fredf.org" target="_blank">kent@fredf.org</a>>; Johnson, Tim <<a href="mailto:johns10t@cmich.edu" target="_blank">johns10t@cmich.edu</a>><br>

<b>Cc:</b> <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<b>Subject:</b> [External] RE: [cisco-voip] Third Party Softphone w/ TLS<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I looked at how to secure this briefly for a polycom endpoint and the explanation in that documentation was that you had to supply a certificate as the client.

<u></u><u></u></p>

<p class="MsoNormal">So, from that much your assessment that the softphone needs to be presenting some sort of client certificate sounds about right.

<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I would be curious to hear what the outcome is, as we’re starting to let in some more 3<sup>rd</sup> party devices from Axis, ClearOne, Crestron. 9/10 times I ask about SRTP and SIPS support and the customer has no idea what I’m talking

 about, but some day someone is going to call my bluff.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I’m not sure what your application is but a targeted VPN connection is probably going to be an easier lift, especially if you’re going to enable TLS 1.0.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Adam<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">

<p class="MsoNormal"><b>From:</b> cisco-voip <<a href="mailto:cisco-voip-bounces@puck.nether.net" target="_blank">cisco-voip-bounces@puck.nether.net</a>>

<b>On Behalf Of </b>Kent Roberts<br>

<b>Sent:</b> Thursday, January 21, 2021 6:35 PM<br>

<b>To:</b> Johnson, Tim <<a href="mailto:johns10t@cmich.edu" target="_blank">johns10t@cmich.edu</a>><br>

<b>Cc:</b> <a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<b>Subject:</b> Re: [cisco-voip] Third Party Softphone w/ TLS<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Did you restart tomcat after adding the trust?   Seems that is the thing with Cisco these days….. and I am told that in newer versions, restarting the server will be required, as restarting the service isn’t enough….   Only thing I though

 of was ok windows….<u></u><u></u></p>

<div>

<p class="MsoNormal" style="margin-bottom:12pt"><u></u> <u></u></p>

<blockquote style="margin-top:5pt;margin-bottom:5pt">

<div>

<p class="MsoNormal">On Jan 21, 2021, at 9:55 AM, Johnson, Tim <<a href="mailto:johns10t@cmich.edu" target="_blank">johns10t@cmich.edu</a>> wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">Does anyone have a working configuration of using a third party SIP softphone with TLS? I have it working with Cisco phones and Jabber, but am trying to get a third party client working. I’m on CUCM 12.0.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">So far, I’m running into an issue with the TLS handshake. The client is using TLS 1.0, and I confirmed that my CUCM nodes do support 1.0. I’ve put the CallManager cert in the trusted root (local machine) on the Windows client. When attempting

 to register the client, CUCM gives an error “peer did not return a certificate.” That led me to think that I would need to get a signed cert uploaded as a CM-trust cert. I opened a ticket with TAC to ask if that’s the case (would rather not have to do a client

 cert if I don’t need to) and they suggested I may not need one. I haven’t been able to get more out of them on this yet (after a week), so I figured I’d ask here.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10pt;font-family:Consolas">Tim Johnson</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10pt;font-family:Consolas">Voice & Video Engineer</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10pt;font-family:Consolas">Central Michigan University</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif">_______________________________________________<br>

cisco-voip mailing list<br>

</span><a href="mailto:cisco-voip@puck.nether.net" target="_blank"><span style="font-size:9pt;font-family:Helvetica,sans-serif">cisco-voip@puck.nether.net</span></a><span style="font-size:9pt;font-family:Helvetica,sans-serif"><br>

</span><a href="https://nam12.safelinks.protection.outlook.com/?url=https%3A%2F%2Fpuck.nether.net%2Fmailman%2Flistinfo%2Fcisco-voip&data=04%7C01%7Cajp26%40buffalo.edu%7C89889ba47937406ba85a08d8be65945e%7C96464a8af8ed40b199e25f6b50a20250%7C0%7C0%7C637468691204196313%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C2000&sdata=7CE7FuyYodBs7KBAjD7sf3Swz7iQQzzhZssxcvqyHMk%3D&reserved=0" target="_blank"><span style="font-size:9pt;font-family:Helvetica,sans-serif">https://puck.nether.net/mailman/listinfo/cisco-voip</span></a><u></u><u></u></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net" target="_blank">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

</blockquote></div>