# Azure KeyVault {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings). {% endhint %} ## AppConfig:KeyVaultConfig:RootCertificateConfig:AddExtendedKeyUsage *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_AddExtendedKeyUsage* **Wert:** *true* oder *false* **Beschreibung:** Diese Einstellung bestimmt, ob SCEPman seine CA-Zertifikate mit einer Extended-Key-Usage-Erweiterung generiert. Die Erweiterung ist von den Standards nicht erforderlich, aber Cisco ISE verlangt sie manchmal, damit OCSP funktioniert. **True** (Standard für 1.9 und höher): SCEPman fügt neu generierten CA-Zertifikaten eine Extended-Key-Usage-Erweiterung hinzu. **False** (Standard für 1.8 und früher): SCEPman generiert ein CA-Zertifikat ohne Extended-Key-Usage-Erweiterung. ## AppConfig:KeyVaultConfig:RootCertificateConfig:DaysExpiresIn *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_DaysExpiresIn* Die Gültigkeit des generierten Root-CA-Zertifikats in Tagen. Standardmäßig 3650, also etwa zehn Jahre. Wir empfehlen, diesen Wert nicht zu verringern, da dies die Verfügbarkeitsrisiken erhöht, ohne Sicherheitsvorteil -- die Verteilung des Root-CA-Zertifikats zu stoppen ist einfach und viel schneller als auf das Ablaufen des Zertifikats zu warten. {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %} ## AppConfig:KeyVaultConfig:RootCertificateConfig:KeySize *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_KeySize* Die Länge des Root-CA-Schlüssels in Bits. Neue Installationen setzen diesen Wert auf 4096. Wenn Sie die Einstellung entfernen, ist standardmäßig 2048 eingestellt. Sie gilt jedoch nur bei der Generierung eines neuen Root-CA-Zertifikats. {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %} ## AppConfig:KeyVaultConfig:RootCertificateConfig:KeyType *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_KeyType* Der Typ des für die Root-CA erstellten Schlüssels. *RSA* ist ein softwaregeschützter RSA-Schlüssel; *RSA-HSM* ist HSM-geschützt. Wenn Sie einen ECC-Schlüssel verwenden möchten, wenden Sie sich bitte für weitere Anweisungen an den SCEPman-Support. {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %} ## AppConfig:KeyVaultConfig:KeyVaultURL *Linux: AppConfig\_\_KeyVaultConfig\_\_KeyVaultURL* Die Azure Key Vault-URL. Diese Einstellung wird während des Setups automatisch konfiguriert. Diese Einstellung MUSS in der Konfiguration Ihres App Service vorhanden sein. Es ist NICHT möglich, diese Einstellung als Secret in Azure Key Vault zu definieren! {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %} ## AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_CertificateName* Der Name des Root-Zertifikats. Diese Einstellung wird während des Setups automatisch konfiguriert. Der Name erscheint nicht im Zertifikat selbst und ist nur eine Referenz auf das CA-Zertifikat innerhalb von Azure Key Vault. Da er Teil der URL ist, gelten Namensbeschränkungen, etwa Einschränkungen auf alphanumerische Zeichen, Zahlen und Bindestriche. {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %} ## AppConfig:KeyVaultConfig:RootCertificateConfig:Subject *Linux: AppConfig\_\_KeyVaultConfig\_\_RootCertificateConfig\_\_Subject* Der Betreff des Root-Zertifikats. Diese Einstellung wird während des Setups automatisch konfiguriert. Sie wird nur als Eingabe zum Zeitpunkt der Erstellung des CA-Zertifikats verwendet und danach nicht mehr, sobald ein CA-Zertifikat vorhanden ist. {% hint style="danger" %} Änderungen können Ihrem Dienst schaden! {% endhint %}