OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Valor: true o false (predeterminado)

Descripción: Si esto está establecido en false o no está configurado, el certificado de la CA firmará las respuestas OCSP. Es el enfoque más simple.

Si está establecido en true, SCEPman emitirá dinámicamente un certificado de Respondedor Autorizado para firmar las respuestas OCSP. Este Respondedor Autorizado tiene una validez corta y se emitirá un nuevo certificado automáticamente cuando sea necesario. El certificado junto con su clave privada se mantendrán solo en memoria, por lo que no es necesario que los administradores de SCEPman gestionen el certificado del Respondedor Autorizado. Esto reduce la dependencia de Key Vault, mejorando los tiempos de respuesta y la disponibilidad, y es un método para evitar el límite de estrangulamiento de Key Vault que de otro modo podría afectar instalaciones de SCEPman más grandes (> ~50k usuarios).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Valor: Valor de punto flotante (24.0 como predeterminado)

Descripción: Esto solo es aplicable si habilita el Respondedor OCSP Autorizado estableciendo UseAuthorizedResponder en true. Este valor determina la fecha de caducidad del certificado del Respondedor OCSP Autorizado. Por defecto, expira un día después de su emisión. Tenga en cuenta que debido a la configuración AppConfig:ValidityClockSkewMinutes, la fecha de emisión se retrocede y por lo tanto la validez real suele ser de dos días (uno en el pasado, uno en el futuro).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valor: Entero (600 como predeterminado)

Descripción: Esta es la validez en segundos de las respuestas OCSP para certificados válidos. Técnicamente, una respuesta OCSP puede reutilizarse dentro de su validez si no se utiliza ningún Nonce OCSP , p. ej. por un proxy o una caché interna de SCEPman. En algunos sistemas como Windows, la respuesta OCSP se almacena en una caché del cliente durante su periodo de validez, y al comprobar la validez de un certificado, solo se enviará una nueva solicitud OCSP cuando no haya ya una respuesta OCSP válida en la caché.

Por lo tanto, el valor determina el retraso máximo entre la revocación de un certificado y el momento en que un sistema que cachea una respuesta OCSP realmente considera el certificado como revocado. Un número menor podría aumentar el número de solicitudes OCSP y por lo tanto la carga en SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valor: Entero (300 como predeterminado)

Descripción: Esta es la validez en segundos de las respuestas OCSP para certificados deshabilitados, es decir, que tienen el estado de revocación En Espera . Estos certificados están revocados, pero podrían volver a ser válidos. Ejemplos son certificados de dispositivos para dispositivos que están deshabilitados en Entra Id, o certificados de usuario para usuarios con una puntuación de riesgo de usuario alta.

La configuración no influye en certificados revocados permanentemente. Sus respuestas OCSP tienen validez larga, ya que su estado de revocación ya no puede cambiar.

Por lo tanto, el valor determina el retraso máximo entre la restauración de la validez de un certificado (p. ej., al habilitar un dispositivo en Entra ID) y la revocación efectivamente cancelada en un sistema que cachea una respuesta OCSP.