# OCSP {% hint style="info" %} Estos ajustes solo deben aplicarse al SCEPman App Service, no al Certificate Master. Consulte [SCEPman Settings](https://docs.scepman.com/es/configuracion-de-scepman/application-settings). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} Aplicable a la versión 2.9 y superior {% endhint %} **Valor:** *verdadero* o *falso* (predeterminado) **Descripción:** Si esto se establece en *falso* o no se establece, el certificado de la CA firmará las respuestas OCSP. Es el enfoque más sencillo. Si se establece en *verdadero*, SCEPman emitirá dinámicamente un [certificado de Autorizado Responder](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) para firmar las respuestas OCSP. Este Autorizado Responder tiene una validez corta y se emitirá automáticamente un nuevo certificado siempre que sea necesario. El certificado, junto con su clave privada, solo se almacenará en memoria, por lo que los administradores de SCEPman no necesitan gestionar el certificado de Autorizado Responder. Esto reduce la dependencia de Key Vault, mejorando los tiempos de respuesta y la disponibilidad, y es una de las formas de evitar el [límite de regulación de Key Vault](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) que, de otro modo, podría afectar a instalaciones de SCEPman de mayor tamaño (> \~50k usuarios). ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} Aplicable a la versión 2.9 y superior {% endhint %} **Valor:** Valor de punto flotante (*24.0* como valor predeterminado) **Descripción:** Esto solo aplica si habilita el Autorizado OCSP Responder estableciendo UseAuthorizedResponder en *verdadero*. Este valor determina la fecha de expiración del certificado del Autorizado OCSP Responder. De forma predeterminada, expira un día después de su emisión. Tenga en cuenta que, debido a la configuración [AppConfig:ValidityClockSkewMinutes](https://docs.scepman.com/es/configuracion-de-scepman/certificates#appconfig-validityclockskewminutes), la fecha de emisión se retrotrae y, por lo tanto, la validez real suele ser de dos días (uno en el pasado y otro en el futuro). ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **Valor:** Entero (*600* como valor predeterminado) **Descripción:** Esta es la validez en segundos de las respuestas OCSP para certificados válidos. Técnicamente, una respuesta OCSP puede reutilizarse dentro de su período de validez si no se usa ningún [Nonce OCSP](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) por ejemplo, por un proxy o una caché interna de SCEPman. En algunos sistemas como Windows, la respuesta OCSP se almacena en una caché del cliente durante su período de validez y, al comprobar la validez de un certificado, solo se enviará una nueva solicitud OCSP cuando no haya ya una respuesta OCSP válida en la caché. Por lo tanto, el valor determina el retraso máximo entre la revocación de un certificado y el momento en que un sistema que almacena en caché una respuesta OCSP considera realmente un certificado como revocado. Un número más bajo puede aumentar el número de solicitudes OCSP y, por lo tanto, la carga en SCEPman. ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **Valor:** Entero (*300* como valor predeterminado) **Descripción:** Esta es la validez en segundos de las respuestas OCSP para certificados deshabilitados, es decir, los que tienen el estado de revocación *En espera* . Estos certificados están revocados, pero podrían volver a ser válidos. Algunos ejemplos son los certificados de dispositivo para dispositivos deshabilitados en Entra Id, o los certificados de usuario para [usuarios con una puntuación de riesgo de usuario alta](https://docs.scepman.com/es/configuracion-de-scepman/scep-endpoints/intune-validation#appconfig-intunevalidation-userriskcheck). La configuración no influye en los certificados revocados permanentemente. Sus respuestas OCSP tienen validez prolongada, ya que su estado de revocación ya no puede cambiar. Por lo tanto, el valor determina el retraso máximo entre la restauración de la validez de un certificado (por ejemplo, al habilitar un dispositivo en Entra ID) y la cancelación efectiva de la revocación en un sistema que almacena en caché una respuesta OCSP.