OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Valor: verdadero o falso (predeterminado)

Descripción: Si esto se establece en falso o no se establece, el certificado de la CA firmará las respuestas OCSP. Es el enfoque más sencillo.

Si se establece en verdadero, SCEPman emitirá dinámicamente un certificado de Autorizado Responder para firmar las respuestas OCSP. Este Autorizado Responder tiene una validez corta y se emitirá automáticamente un nuevo certificado siempre que sea necesario. El certificado, junto con su clave privada, solo se almacenará en memoria, por lo que los administradores de SCEPman no necesitan gestionar el certificado de Autorizado Responder. Esto reduce la dependencia de Key Vault, mejorando los tiempos de respuesta y la disponibilidad, y es una de las formas de evitar el límite de regulación de Key Vault que, de otro modo, podría afectar a instalaciones de SCEPman de mayor tamaño (> ~50k usuarios).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Valor: Valor de punto flotante (24.0 como valor predeterminado)

Descripción: Esto solo aplica si habilita el Autorizado OCSP Responder estableciendo UseAuthorizedResponder en verdadero. Este valor determina la fecha de expiración del certificado del Autorizado OCSP Responder. De forma predeterminada, expira un día después de su emisión. Tenga en cuenta que, debido a la configuración AppConfig:ValidityClockSkewMinutes, la fecha de emisión se retrotrae y, por lo tanto, la validez real suele ser de dos días (uno en el pasado y otro en el futuro).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valor: Entero (600 como valor predeterminado)

Descripción: Esta es la validez en segundos de las respuestas OCSP para certificados válidos. Técnicamente, una respuesta OCSP puede reutilizarse dentro de su período de validez si no se usa ningún Nonce OCSP por ejemplo, por un proxy o una caché interna de SCEPman. En algunos sistemas como Windows, la respuesta OCSP se almacena en una caché del cliente durante su período de validez y, al comprobar la validez de un certificado, solo se enviará una nueva solicitud OCSP cuando no haya ya una respuesta OCSP válida en la caché.

Por lo tanto, el valor determina el retraso máximo entre la revocación de un certificado y el momento en que un sistema que almacena en caché una respuesta OCSP considera realmente un certificado como revocado. Un número más bajo puede aumentar el número de solicitudes OCSP y, por lo tanto, la carga en SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valor: Entero (300 como valor predeterminado)

Descripción: Esta es la validez en segundos de las respuestas OCSP para certificados deshabilitados, es decir, los que tienen el estado de revocación En espera . Estos certificados están revocados, pero podrían volver a ser válidos. Algunos ejemplos son los certificados de dispositivo para dispositivos deshabilitados en Entra Id, o los certificados de usuario para usuarios con una puntuación de riesgo de usuario alta.

La configuración no influye en los certificados revocados permanentemente. Sus respuestas OCSP tienen validez prolongada, ya que su estado de revocación ya no puede cambiar.

Por lo tanto, el valor determina el retraso máximo entre la restauración de la validez de un certificado (por ejemplo, al habilitar un dispositivo en Entra ID) y la cancelación efectiva de la revocación en un sistema que almacena en caché una respuesta OCSP.