# CRL ## Anleitung {% content-ref url="/pages/913d5bb3c7fc4bcfcddd866a9ef30a9d5215e441" %} [CRL aktivieren](/de/zertifikatsverwaltung/manage-certificates/enabling-crl.md) {% endcontent-ref %} {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](/de/scepman-konfiguration/application-settings.md). {% endhint %} Für einen allgemeinen Vergleich von Techniken zur Kontrolle der Zertifikatsgültigkeit werfen Sie einen Blick in [unseren Blogbeitrag](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/). ## AppConfig:CRL:RequestToken *Linux: AppConfig\_\_CRL\_\_RequestToken* {% hint style="info" %} Gilt ab Version 2.3 und höher {% endhint %} **Wert:** Eine benutzerdefinierte geheime Zeichenfolge aus alphanumerischen Zeichen und Bindestrichen **Beschreibung:** Wenn Sie diesen Wert auf etwas setzen, das keine leere Zeichenfolge ist, können Sie eine Certificate Revocation List (CRL) von SCEPman herunterladen. Die URL der CRL lautet , wobei scepman.contoso.de die Domain Ihrer SCEPman-Instanz ist und {RequestToken} das hier konfigurierte Token ist. Die CRL enthält derzeit nicht alle widerrufenen Zertifikate. Daher könnten Angreifer, die ein widerrufenes Zertifikat besitzen und Zugriff auf die CRL erlangen, diese nutzen, um eine Partei davon zu überzeugen, dass ihr widerrufenes Zertifikat tatsächlich nicht widerrufen ist, weil es nicht in der Liste enthalten ist. Daher sollten Sie den RequestToken als Geheimnis behandeln und diese Funktion generell nur aktivieren, wenn Sie sie benötigen. Sie sollten die CRL nur dort verwenden, wo es nicht möglich ist, das überlegene OCSP zu nutzen. Beachten Sie, dass Netzwerkgeräte wie Proxys die URL der CRL protokollieren könnten. ## AppConfig:CRL:Source *Linux: AppConfig\_\_CRL\_\_Source* {% hint style="info" %} Gilt ab Version 2.4 und höher {% endhint %} **Wert:** *Keine* (Standard) oder *Storage* **Beschreibung:** Wenn Sie diesen Wert auf *Keine*setzen, enthält die generierte CRL überhaupt keine widerrufenen Zertifikate. Wenn Sie diesen Wert auf *Storage*setzen, enthält die CRL alle manuell widerrufenen Zertifikate, die im Azure Storage gespeichert sind. Zertifikate, die automatisch über OCSP widerrufen werden, werden nicht in die CRL aufgenommen. Wenn Sie beispielsweise ein Gerät deaktivieren, wird das Zertifikat des Geräts automatisch über OCSP widerrufen. Das Zertifikat wird jedoch nicht in die CRL aufgenommen. ## AppConfig:CRL:AddCdp *Linux: AppConfig\_\_CRL\_\_AddCdp* {% hint style="info" %} Gilt ab Version 2.10 und höher {% endhint %} **Wert:** *false* (Standard) oder *true* **Beschreibung:** Wenn Sie diesen Wert auf *true*fügt SCEPman den ausgestellten Zertifikaten eine CRL Distribution Point (CDP)-Erweiterung hinzu, die die URL enthält, von der die aktuelle CRL von SCEPman heruntergeladen werden kann. ## AppConfig:CRL:ValidityDays *Linux: AppConfig\_\_CRL\_\_ValidityDays* **Wert:** *Gleitkommazahl* **Beschreibung:** Die Anzahl der Tage, für die eine ausgestellte CRL gültig ist. Wenn nichts konfiguriert ist, sind CRLs gültig für **0,1 Tage** = 2,4 Stunden (SCEPman 2.4 und neuer) oder **30 Tage** (SCEPman 2.3). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/scepman-konfiguration/application-settings/crl.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.