OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Wert: true oder false (Standard)

Beschreibung: Wenn dies auf false oder nicht gesetzt ist, wird das CA-Zertifikat OCSP-Antworten signieren. Das ist der einfachere Ansatz.

Wenn es auf truegesetzt ist, wird SCEPman dynamisch ein Authorisiertes Responder-Zertifikat ausstellen, um OCSP-Antworten zu signieren. Dieses Authorisierte Responder-Zertifikat hat eine kurze Gültigkeit und ein neues Zertifikat wird bei Bedarf automatisch ausgestellt. Das Zertifikat zusammen mit seinem privaten Schlüssel wird nur im Speicher gehalten, sodass SCEPman-Administratoren das Responder-Zertifikat nicht verwalten müssen. Das reduziert die Abhängigkeit vom Key Vault, verbessert Antwortzeiten und Verfügbarkeit und ist eine Methode, um das Key Vault-Drosselungs-Limit zu vermeiden, das andernfalls größere SCEPman-Installationen (> ~50k Benutzer) beeinträchtigen könnte.

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Wert: Gleitkommawert (24.0 als Standard)

Beschreibung: Dies ist nur anwendbar, wenn Sie den Authorisierten OCSP-Responder aktivieren, indem Sie UseAuthorizedResponder auf truesetzen. Dieser Wert bestimmt das Ablaufdatum des Authorisierten OCSP-Responder-Zertifikats. Standardmäßig läuft es einen Tag nach Ausstellung ab. Beachten Sie, dass aufgrund der Einstellung AppConfig:ValidityClockSkewMinutesdas Ausstellungsdatum zurückdatiert wird und die tatsächliche Gültigkeit daher normalerweise zwei Tage beträgt (einer in der Vergangenheit, einer in der Zukunft).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Wert: Ganzzahl (600 als Standard)

Beschreibung: Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für gültige Zertifikate. Technisch kann eine OCSP-Antwort innerhalb ihrer Gültigkeit wiederverwendet werden, wenn keine OCSP-Nonce verwendet wird, z. B. durch einen Proxy oder einen internen SCEPman-Cache. Auf einigen Systemen wie Windows wird die OCSP-Antwort für ihre Gültigkeitsdauer im Client-Cache gespeichert, und beim Überprüfen der Zertifikatsgültigkeit wird nur dann eine neue OCSP-Anfrage gesendet, wenn keine gültige OCSP-Antwort bereits im Cache vorhanden ist.

Daher bestimmt der Wert die maximale Verzögerung zwischen dem Widerruf eines Zertifikats und dem Zeitpunkt, an dem ein System, das eine OCSP-Antwort zwischenspeichert, das Zertifikat tatsächlich als widerrufen behandelt. Ein niedrigerer Wert kann die Anzahl der OCSP-Anfragen und damit die Last auf SCEPman erhöhen.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Wert: Ganzzahl (300 als Standard)

Beschreibung: Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für deaktivierte Zertifikate, d. h. solche, die den On Hold Widerrufsstatus haben. Diese Zertifikate sind widerrufen, könnten aber wieder gültig werden. Beispiele sind Gerätezertifikate für Geräte, die in Entra ID deaktiviert sind, oder Benutzerzertifikate für Benutzer mit hohem Benutzer-Risiko-Score.

Die Einstellung hat keinen Einfluss auf dauerhaft widerrufene Zertifikate. Deren OCSP-Antworten haben lange Gültigkeitsdauern, da sich deren Widerrufsstatus nicht mehr ändern kann.

Daher bestimmt der Wert die maximale Verzögerung zwischen der Wiederherstellung der Gültigkeit eines Zertifikats (z. B. durch Aktivieren eines Geräts in Entra ID) und dem tatsächlichen Aufheben des Widerrufs auf einem System, das eine OCSP-Antwort zwischenspeichert.