> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/de/scepman-konfiguration/application-settings/ocsp.md). # OCSP {% hint style="info" %} Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beziehen Sie sich auf [SCEPman-Einstellungen](/de/scepman-konfiguration/application-settings.md). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} Gilt für Version 2.9 und höher {% endhint %} **Wert:** *true* (Standard seit 3.1) oder *false* **Beschreibung:** Wenn dies auf *false*, signiert das CA-Zertifikat OCSP-Antworten. Es ist der einfachere Ansatz. Wenn es auf *true* oder nicht festgelegt ist, wird SCEPman dynamisch ein [Authorized Responder certificate](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) ausstellen, um OCSP-Antworten zu signieren. Dieser Authorized Responder hat eine kurze Gültigkeit (siehe unten AuthorizedResponderValidityHours), und bei Bedarf wird automatisch ein neues Zertifikat ausgestellt. Das Zertifikat einschließlich seines privaten Schlüssels wird nur im Speicher gehalten, sodass SCEPman-Administratoren das Zertifikat des Authorized Responder nicht verwalten müssen. Dadurch verringert sich die Abhängigkeit von Key Vault, was die Antwortzeiten und die Verfügbarkeit verbessert, und ist eine Methode, um die [Key Vault-Throttling-Limit](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) zu vermeiden, das andernfalls größere SCEPman-Installationen (> \~50k Benutzer) beeinträchtigen könnte. ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} Gilt für Version 2.9 und höher {% endhint %} **Wert:** Gleitkommawert (*24.0* als Standard) **Beschreibung:** Dies gilt nur, wenn Sie den Authorized OCSP Responder aktivieren, indem Sie UseAuthorizedResponder auf *true*. Dieser Wert bestimmt das Ablaufdatum des Authorized OCSP Responder-Zertifikats. Standardmäßig läuft es einen Tag nach der Ausstellung ab. Beachten Sie, dass aufgrund der Einstellung [AppConfig:ValidityClockSkewMinutes](/de/scepman-konfiguration/application-settings/certificates.md#appconfig-validityclockskewminutes), das Ausstellungsdatum zurückdatiert wird und die tatsächliche Gültigkeit daher normalerweise zwei Tage beträgt (einen in der Vergangenheit, einen in der Zukunft). ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **Wert:** Ganzzahl (*600* als Standard) **Beschreibung:** Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für gültige Zertifikate. Technisch gesehen kann eine OCSP-Antwort innerhalb ihrer Gültigkeit wiederverwendet werden, wenn kein [OCSP Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) verwendet wird, z. B. von einem Proxy oder einem internen SCEPman-Cache. Auf einigen Systemen wie Windows wird die OCSP-Antwort für ihren Gültigkeitszeitraum in einem Client-Cache gespeichert, und bei der Überprüfung der Gültigkeit eines Zertifikats wird eine neue OCSP-Anfrage nur gesendet, wenn sich bereits keine gültige OCSP-Antwort im Cache befindet. Daher bestimmt der Wert die maximale Verzögerung zwischen einer Zertifikatswiderrufung und dem Zeitpunkt, zu dem ein System, das eine OCSP-Antwort zwischenspeichert, ein Zertifikat tatsächlich als widerrufen behandelt. Eine niedrigere Zahl könnte die Anzahl der OCSP-Anfragen erhöhen und damit die Last auf SCEPman. ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **Wert:** Ganzzahl (*300* als Standard) **Beschreibung:** Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für deaktivierte Zertifikate, d. h. solche mit dem *In Wartestellung* Widerrufsstatus. Diese Zertifikate sind widerrufen, könnten aber wieder gültig werden. Beispiele sind Gerätezertifikate für Geräte, die in Entra ID deaktiviert sind, oder Benutzerzertifikate für [Benutzer mit einem hohen Benutzer-Risikoscore](/de/scepman-konfiguration/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-userriskcheck). Die Einstellung hat keinen Einfluss auf dauerhaft widerrufene Zertifikate. Ihre OCSP-Antworten haben lange Gültigkeiten, da sich ihr Widerrufsstatus nicht mehr ändern kann. Daher bestimmt der Wert die maximale Verzögerung zwischen der Wiederherstellung der Gültigkeit eines Zertifikats (z. B. durch Aktivieren eines Geräts in Entra ID) und dem tatsächlichen Aufheben des Widerrufs auf einem System, das eine OCSP-Antwort zwischenspeichert. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/scepman-konfiguration/application-settings/ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.