Download als PDF FileAus verschiedenen Gründen musste ich bei einem Kunden alle Zertifikate von self signed auf Signed wechseln. Also gesagt getan. In diesem Zuge habe ich dann mal das Multiserver SAN getestet, welches ab CUCM 10.5 verfügbar ist:
Allerdings verlief dies nicht ganz sauber und wie es nicht ganz so seltend vor kommt bin ich natürlich in einen BUG gelaufen.
Beim erstellen des Zertifikats für alle Nodes im Cluster sieht es so aus:
Das Problem oder besser man (TAC) weiss es noch nicht ist das default „-ms“ am Ende. Der Trust Verification Service (TVS) ist zuständig für die default Security beim CUCM. Hier steht der FQDN vom server drin. In unserem Fall „cucm001.domain.com“ . Wenn man jetzt das Zertifikat mit dem Common Name erstellt ist by default das „-ms“ hinten dran und hier gibt es wohl Probleme wenn man dies so lässt.
Ich hab noch keine Bestätigung bekommen, dass es funktionieren soll wenn man es manuell anpasst und das -ms löscht, auf jeden Fall wenn man es nicht tut hat man den Effekt, das die Phones zwar registriert sind, aber sich alle 10-20 min einmal wieder neu registrieren. Normale Calls sind auch weiterhin möglich.
Desweiteren wird auch kein neues ITL auf das phone geladen. Dies aus folgenden Grund (cli vom CUCM):
admin:show itl
The checksum value of the ITL file:
d41d8cd98f00b204e9800998ecf8427e(MD5)
da39a3ee5e6b4b0d3255bfef95601890afd80709(SHA1)
Length of ITL file: 0
The ITL File was last modified on Mon Feb 02 16:10:43 CET 2015Parse ITL File
—————-Invalid ITL file. Error skipping past version.
Error parsing the ITL File.admin:
Es existiert kein sauberes ITL File mehr.
Das Ende vom Lied, Call Manager Pub und Sub wieder zurück auf self-signed (Einfach auf dem CallManager Zertifikat re-genrate klicken, CM Service, TFTP Service und TVS Service neustarten) oder nicht MultiServer SAN nutzen, oder auf eine nächste version vom CUCM warten bzw. upgraden.
Der momentane BUG sieht so aus:
