# CRL

## Guía práctica

{% content-ref url="../../administracion-de-certificados/manage-certificates/enabling-crl" %}
[enabling-crl](https://docs.scepman.com/es/administracion-de-certificados/manage-certificates/enabling-crl)
{% endcontent-ref %}

{% hint style="info" %}
Estos ajustes solo deben aplicarse al SCEPman App Service, no al Certificate Master. Consulte [SCEPman Settings](https://docs.scepman.com/es/configuracion-de-scepman/application-settings).
{% endhint %}

Para una comparación general de las técnicas para controlar la validez de los certificados, eche un vistazo a [nuestro artículo del blog](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/).

## AppConfig:CRL:RequestToken

*Linux: AppConfig\_\_CRL\_\_RequestToken*

{% hint style="info" %}
Aplicable a la versión 2.3 y posteriores
{% endhint %}

**Valor:** Una cadena secreta personalizada compuesta por caracteres alfanuméricos y guiones

**Descripción:** Si establece este valor en cualquier cosa que no sea una cadena vacía, puede descargar una Lista de Revocación de Certificados (CRL) desde SCEPman. La URL de la CRL es <https://scepman.contoso.de/crl/{RequestToken}>, donde scepman.contoso.de es el dominio de su instancia de SCEPman y {RequestToken} es el token configurado aquí.

Actualmente, la CRL no contiene todos los certificados revocados. Por lo tanto, los atacantes que posean un certificado revocado y obtengan acceso a la CRL podrían usarla para intentar convencer a una parte de que su certificado revocado en realidad no está revocado, porque no figura en la lista. Por ello, debe tratar el RequestToken como un secreto y, por lo general, habilitar esta función solo si la necesita. Debe usar la CRL solo cuando no sea posible utilizar el mejor OCSP. Tenga en cuenta que los equipos de red, como los proxies, podrían registrar la URL de la CRL.

## AppConfig:CRL:Source

*Linux: AppConfig\_\_CRL\_\_Source*

{% hint style="info" %}
Aplicable a la versión 2.4 y posteriores
{% endhint %}

**Valor:** *Ninguno* (predeterminado) o *Storage*

**Descripción:** Si establece este valor en *Ninguno*, la CRL generada no contendrá ningún certificado revocado. Si establece este valor en *Storage*, la CRL contendrá todos los certificados revocados manualmente que estén almacenados en el Azure Storage.

Los certificados que se revocan automáticamente mediante OCSP no se incluirán en la CRL. Por ejemplo, si deshabilita un dispositivo, el certificado del dispositivo se revocará automáticamente mediante OCSP. Sin embargo, el certificado no se incluirá en la CRL.

## AppConfig:CRL:AddCdp

*Linux: AppConfig\_\_CRL\_\_AddCdp*

{% hint style="info" %}
Aplicable a la versión 2.10 y posteriores
{% endhint %}

**Valor:** *falso* (predeterminado) o *verdadero*

**Descripción:** Si establece este valor en *verdadero*, SCEPman agrega una extensión de Punto de Distribución de CRL (CDP) a los certificados emitidos, que contiene la URL desde la cual descargar la CRL actual de SCEPman.

## AppConfig:CRL:ValidityDays

*Linux: AppConfig\_\_CRL\_\_ValidityDays*

**Valor:** *Número decimal*

**Descripción:** El número de días durante los cuales una CRL emitida es válida. Si no se configura nada, las CRL serán válidas durante **0,1 días** = 2,4 horas (SCEPman 2.4 y posteriores) o **30 días** (SCEPman 2.3).