Cisco Cisco TelePresence Video Communication Server Expressway

Appendix 10 – Connecting Cisco VCS to CUCM using TLS (rather than TCP) 

Cisco VCS Deployment Guide: CUCM v6.1, 7 and 8 with Cisco VCS X7.1 using a SIP trunk 

Page 50 of 53 

 

 

Note: VCS will report that the CUCM zone is active even while it is communicating with CUCM over 
TCP. The changes below are necessary to allow communications to happen over TLS. 

On VCS: 

1.  On the 

 page (

, then select the zone to CUCM). 

2.  Configure the following fields: 

 

SIP section 

5061 

 

Leave other parameters as previously configured. 

3.  Click Save. 

To verify correct TLS operation, check that the VCS zone reports its status as active and then make 
some test calls: 

1.  Check the VCS zone is active: 

a.  Go to 

. 

b.  Check the Status of the zone. 

If the zone is not active, try resetting or restarting the trunk again on CUCM. 

2.  Make a test call from a VCS registered endpoint to a CUCM phone. 

3.  Make a test call from a CUCM phone to a VCS registered endpoint. 

Note: CUCM 8.0.2 and earlier do not handle received crypto tags properly; the receipt of them may 
cause CUCM to clear the call. If this occurs, configure endpoints with Encryption = Off. 

If there is a network of VCSs behind this VCS neighbored to CUCM, then, either: 

 

CUCM must trust the certificates of all the VCSs in the network, or 

 

(From X7.0) configure VCS neighbor zone to ‘always’ route the signaling 

With TLS configured between VCS and CUCM, and where VCS is configured for optimal routing 
(usual case), either: 

 

CUCM must trust the certificates for all VCSs in the network, or 

 

If VCS is version X7.0.n, or a custom zone is in use, go to the CUCM neighbor zone and: 

a.  Change the Advanced Zone profile from Cisco Unified Communications Manager to 

Custom. 

b.  Set the parameters as documented in “Appendix 8 – Parameters set by the ‘Cisco Unified 

Communications Manager’ Advanced Zone profile”. 

c. 

Set Call signaling routed mode to Always.