# CRL ## Anleitung {% content-ref url="../../zertifikatsverwaltung/manage-certificates/enabling-crl" %} [enabling-crl](https://docs.scepman.com/de/zertifikatsverwaltung/manage-certificates/enabling-crl) {% endcontent-ref %} {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings). {% endhint %} Für einen allgemeinen Vergleich von Techniken zur Kontrolle der Zertifikatsgültigkeit werfen Sie einen Blick in [unseren Blogbeitrag](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/). ## AppConfig:CRL:RequestToken *Linux: AppConfig\_\_CRL\_\_RequestToken* {% hint style="info" %} Gilt ab Version 2.3 und höher {% endhint %} **Wert:** Eine benutzerdefinierte geheime Zeichenfolge aus alphanumerischen Zeichen und Bindestrichen **Beschreibung:** Wenn Sie diesen Wert auf etwas setzen, das keine leere Zeichenfolge ist, können Sie eine Certificate Revocation List (CRL) von SCEPman herunterladen. Die URL der CRL lautet , wobei scepman.contoso.de die Domain Ihrer SCEPman-Instanz ist und {RequestToken} das hier konfigurierte Token ist. Die CRL enthält derzeit nicht alle widerrufenen Zertifikate. Daher könnten Angreifer, die ein widerrufenes Zertifikat besitzen und Zugriff auf die CRL erlangen, diese nutzen, um eine Partei davon zu überzeugen, dass ihr widerrufenes Zertifikat tatsächlich nicht widerrufen ist, weil es nicht in der Liste enthalten ist. Daher sollten Sie den RequestToken als Geheimnis behandeln und diese Funktion generell nur aktivieren, wenn Sie sie benötigen. Sie sollten die CRL nur dort verwenden, wo es nicht möglich ist, das überlegene OCSP zu nutzen. Beachten Sie, dass Netzwerkgeräte wie Proxys die URL der CRL protokollieren könnten. ## AppConfig:CRL:Source *Linux: AppConfig\_\_CRL\_\_Source* {% hint style="info" %} Gilt ab Version 2.4 und höher {% endhint %} **Wert:** *Keine* (Standard) oder *Storage* **Beschreibung:** Wenn Sie diesen Wert auf *Keine*setzen, enthält die generierte CRL überhaupt keine widerrufenen Zertifikate. Wenn Sie diesen Wert auf *Storage*setzen, enthält die CRL alle manuell widerrufenen Zertifikate, die im Azure Storage gespeichert sind. Zertifikate, die automatisch über OCSP widerrufen werden, werden nicht in die CRL aufgenommen. Wenn Sie beispielsweise ein Gerät deaktivieren, wird das Zertifikat des Geräts automatisch über OCSP widerrufen. Das Zertifikat wird jedoch nicht in die CRL aufgenommen. ## AppConfig:CRL:AddCdp *Linux: AppConfig\_\_CRL\_\_AddCdp* {% hint style="info" %} Gilt ab Version 2.10 und höher {% endhint %} **Wert:** *false* (Standard) oder *true* **Beschreibung:** Wenn Sie diesen Wert auf *true*fügt SCEPman den ausgestellten Zertifikaten eine CRL Distribution Point (CDP)-Erweiterung hinzu, die die URL enthält, von der die aktuelle CRL von SCEPman heruntergeladen werden kann. ## AppConfig:CRL:ValidityDays *Linux: AppConfig\_\_CRL\_\_ValidityDays* **Wert:** *Gleitkommazahl* **Beschreibung:** Die Anzahl der Tage, für die eine ausgestellte CRL gültig ist. Wenn nichts konfiguriert ist, sind CRLs gültig für **0,1 Tage** = 2,4 Stunden (SCEPman 2.4 und neuer) oder **30 Tage** (SCEPman 2.3).