# OCSP

{% hint style="info" %}
Diese Einstellungen sollten nur auf den SCEPman App Service angewendet werden, nicht auf den Certificate Master. Bitte beachten Sie [SCEPman Settings](https://docs.scepman.com/de/scepman-konfiguration/application-settings).
{% endhint %}

## AppConfig:OCSP:UseAuthorizedResponder

*Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder*

{% hint style="info" %}
Gilt für Version 2.9 und höher
{% endhint %}

**Wert:** *true* oder *false* (Standard)

**Beschreibung:** Wenn dies auf *false* gesetzt ist oder nicht gesetzt ist, signiert das CA-Zertifikat OCSP-Antworten. Das ist der einfachere Ansatz.

Wenn es auf *true*gesetzt ist, stellt SCEPman dynamisch ein [Autorisiertes-Responder-Zertifikat](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) aus, um OCSP-Antworten zu signieren. Dieser autorisierte Responder hat eine kurze Gültigkeitsdauer, und bei Bedarf wird automatisch ein neues Zertifikat ausgestellt. Das Zertifikat wird zusammen mit seinem privaten Schlüssel nur im Speicher gehalten, sodass SCEPman-Administratoren das Zertifikat des autorisierten Responders nicht verwalten müssen. Dadurch wird die Abhängigkeit von Key Vault verringert, was die Antwortzeiten und die Verfügbarkeit verbessert, und es ist eine Möglichkeit, die [Key-Vault-Drosselungsgrenze](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) zu vermeiden, die andernfalls größere SCEPman-Installationen (> \~50.000 Benutzer) beeinträchtigen könnte.

## AppConfig:OCSP:AuthorizedResponderValidityHours

*Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours*

{% hint style="info" %}
Gilt für Version 2.9 und höher
{% endhint %}

**Wert:** Gleitkommawert (*24.0* (als Standard)

**Beschreibung:** Dies gilt nur, wenn Sie den autorisierten OCSP-Responder aktivieren, indem Sie UseAuthorizedResponder auf *true*setzen. Dieser Wert bestimmt das Ablaufdatum des Zertifikats des autorisierten OCSP-Responders. Standardmäßig läuft es einen Tag nach der Ausstellung ab. Beachten Sie, dass aufgrund der Einstellung [AppConfig:ValidityClockSkewMinutes](https://docs.scepman.com/de/scepman-konfiguration/certificates#appconfig-validityclockskewminutes)das Ausstellungsdatum zurückdatiert wird und die tatsächliche Gültigkeit daher normalerweise zwei Tage beträgt (einen in der Vergangenheit, einen in der Zukunft).

## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

*Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists*

**Wert:** Ganzzahl (*600* (als Standard)

**Beschreibung:** Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für gültige Zertifikate. Technisch kann eine OCSP-Antwort innerhalb ihrer Gültigkeitsdauer wiederverwendet werden, wenn kein [OCSP-Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) verwendet wird, z. B. durch einen Proxy oder einen internen SCEPman-Cache. Auf einigen Systemen wie Windows wird die OCSP-Antwort für ihre Gültigkeitsdauer in einem Client-Cache gespeichert, und bei der Überprüfung der Gültigkeit eines Zertifikats wird eine neue OCSP-Anfrage nur gesendet, wenn sich bereits keine gültige OCSP-Antwort im Cache befindet.

Daher bestimmt der Wert die maximale Verzögerung zwischen dem Widerruf eines Zertifikats und dem Zeitpunkt, an dem ein System, das eine OCSP-Antwort zwischenspeichert, ein Zertifikat tatsächlich als widerrufen behandelt. Eine niedrigere Zahl kann die Anzahl der OCSP-Anfragen und damit die Last auf SCEPman erhöhen.

## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

*Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled*

**Wert:** Ganzzahl (*300* (als Standard)

**Beschreibung:** Dies ist die Gültigkeit in Sekunden von OCSP-Antworten für deaktivierte Zertifikate, d. h. solche, die den *On Hold* Widerrufsstatus haben. Diese Zertifikate sind widerrufen, könnten aber wieder gültig werden. Beispiele sind Gerätezertifikate für Geräte, die in Entra Id deaktiviert sind, oder Benutzerzertifikate für [Benutzer mit hohem Benutzerrisiko-Score](https://docs.scepman.com/de/scepman-konfiguration/scep-endpoints/intune-validation#appconfig-intunevalidation-userriskcheck).

Die Einstellung hat keinen Einfluss auf dauerhaft widerrufene Zertifikate. Ihre OCSP-Antworten haben lange Gültigkeitsdauern, da sich ihr Widerrufsstatus nicht mehr ändern kann.

Daher bestimmt der Wert die maximale Verzögerung zwischen der Wiederherstellung der Gültigkeit eines Zertifikats (z. B. durch Aktivieren eines Geräts in Entra ID) und dem tatsächlichen Aufheben des Widerrufs auf einem System, das eine OCSP-Antwort zwischenspeichert.