OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Wert: true oder false (Standard)

Beschreibung: Wenn dies auf false gesetzt ist oder nicht gesetzt ist, signiert das CA-Zertifikat OCSP-Antworten. Das ist der einfachere Ansatz.

Wenn es auf truegesetzt ist, stellt SCEPman dynamisch ein Autorisiertes-Responder-Zertifikat aus, um OCSP-Antworten zu signieren. Dieser autorisierte Responder hat eine kurze Gültigkeitsdauer, und bei Bedarf wird automatisch ein neues Zertifikat ausgestellt. Das Zertifikat wird zusammen mit seinem privaten Schlüssel nur im Speicher gehalten, sodass SCEPman-Administratoren das Zertifikat des autorisierten Responders nicht verwalten müssen. Dadurch wird die Abhängigkeit von Key Vault verringert, was die Antwortzeiten und die Verfügbarkeit verbessert, und es ist eine Möglichkeit, die Key-Vault-Drosselungsgrenze zu vermeiden, die andernfalls größere SCEPman-Installationen (> ~50.000 Benutzer) beeinträchtigen könnte.

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Wert: Gleitkommawert (24.0 (als Standard)

Beschreibung: Dies gilt nur, wenn Sie den autorisierten OCSP-Responder aktivieren, indem Sie UseAuthorizedResponder auf truesetzen. Dieser Wert bestimmt das Ablaufdatum des Zertifikats des autorisierten OCSP-Responders. Standardmäßig läuft es einen Tag nach der Ausstellung ab. Beachten Sie, dass aufgrund der Einstellung AppConfig:ValidityClockSkewMinutesdas Ausstellungsdatum zurückdatiert wird und die tatsächliche Gültigkeit daher normalerweise zwei Tage beträgt (einen in der Vergangenheit, einen in der Zukunft).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Wert: Ganzzahl (600 (als Standard)

Beschreibung: Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für gültige Zertifikate. Technisch kann eine OCSP-Antwort innerhalb ihrer Gültigkeitsdauer wiederverwendet werden, wenn kein OCSP-Nonce verwendet wird, z. B. durch einen Proxy oder einen internen SCEPman-Cache. Auf einigen Systemen wie Windows wird die OCSP-Antwort für ihre Gültigkeitsdauer in einem Client-Cache gespeichert, und bei der Überprüfung der Gültigkeit eines Zertifikats wird eine neue OCSP-Anfrage nur gesendet, wenn sich bereits keine gültige OCSP-Antwort im Cache befindet.

Daher bestimmt der Wert die maximale Verzögerung zwischen dem Widerruf eines Zertifikats und dem Zeitpunkt, an dem ein System, das eine OCSP-Antwort zwischenspeichert, ein Zertifikat tatsächlich als widerrufen behandelt. Eine niedrigere Zahl kann die Anzahl der OCSP-Anfragen und damit die Last auf SCEPman erhöhen.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Wert: Ganzzahl (300 (als Standard)

Beschreibung: Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für deaktivierte Zertifikate, d. h. solche, die den On Hold Widerrufsstatus haben. Diese Zertifikate sind widerrufen, könnten aber wieder gültig werden. Beispiele sind Gerätezertifikate für Geräte, die in Entra Id deaktiviert sind, oder Benutzerzertifikate für Benutzer mit hohem Benutzerrisiko-Score.

Die Einstellung hat keinen Einfluss auf dauerhaft widerrufene Zertifikate. Ihre OCSP-Antworten haben lange Gültigkeitsdauern, da sich ihr Widerrufsstatus nicht mehr ändern kann.

Daher bestimmt der Wert die maximale Verzögerung zwischen der Wiederherstellung der Gültigkeit eines Zertifikats (z. B. durch Aktivieren eines Geräts in Entra ID) und dem tatsächlichen Aufheben des Widerrufs auf einem System, das eine OCSP-Antwort zwischenspeichert.