OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Valeur : true ou false (par défaut)

Description : Si ceci est défini sur false ou n'est pas défini, le certificat de l'AC signera les réponses OCSP. C'est l'approche la plus simple.

S'il est défini sur true, SCEPman émettra dynamiquement un certificat d'Autorisé Répondeur pour signer les réponses OCSP. Cet Autorisé Répondeur a une courte validité et un nouveau certificat sera émis automatiquement selon les besoins. Le certificat ainsi que sa clé privée seront conservés uniquement en mémoire, de sorte que les administrateurs de SCEPman n'ont pas besoin de gérer le certificat de l'Autorisé Répondeur. Cela réduit la dépendance au Key Vault, améliore les temps de réponse et la disponibilité, et constitue une méthode pour éviter la limite de régulation (throttling) du Key Vault qui pourrait autrement affecter les déploiements SCEPman plus importants (> ~50k utilisateurs).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Valeur : Valeur en virgule flottante (24.0 comme valeur par défaut)

Description : Ceci n'est applicable que si vous activez l'Autorisé Répondeur OCSP en réglant UseAuthorizedResponder sur true. Cette valeur détermine la date d'expiration du certificat de l'Autorisé Répondeur OCSP. Par défaut, il expire un jour après l'émission. Notez qu'en raison du paramètre AppConfig:ValidityClockSkewMinutes, la date d'émission est antérieure et par conséquent la validité réelle est généralement de deux jours (un jour dans le passé, un jour dans le futur).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valeur : Entier (600 comme valeur par défaut)

Description : Ceci est la validité en secondes des réponses OCSP pour les certificats valides. Techniquement, une réponse OCSP peut être réutilisée pendant sa période de validité si aucun OCSP Nonce n'est utilisé, par exemple par un proxy ou un cache interne de SCEPman. Sur certains systèmes comme Windows, la réponse OCSP est stockée dans un cache client pendant sa période de validité, et lors de la vérification de la validité d'un certificat, une nouvelle requête OCSP ne sera envoyée que s'il n'existe pas déjà une réponse OCSP valide dans le cache.

Par conséquent, la valeur détermine le délai maximal entre une révocation de certificat et le moment où un système mettant en cache une réponse OCSP considère effectivement un certificat comme révoqué. Un nombre plus bas peut augmenter le nombre de requêtes OCSP et donc la charge sur SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valeur : Entier (300 comme valeur par défaut)

Description : Ceci est la validité en secondes des réponses OCSP pour les certificats désactivés, c'est-à-dire qui ont le statut de révocation En Attente Ces certificats sont révoqués, mais pourraient redevenir valides. Des exemples sont les certificats d'appareil pour des appareils désactivés dans Entra ID, ou les certificats d'utilisateur pour utilisateurs avec un score de risque élevé.

Le paramètre n'a aucune influence sur les certificats révoqués de manière permanente. Leurs réponses OCSP ont de longues périodes de validité, car leur statut de révocation ne peut plus changer.

Par conséquent, la valeur détermine le délai maximal entre la restauration de la validité d'un certificat (par ex. en réactivant un appareil dans Entra ID) et l'annulation effective de la révocation sur un système mettant en cache une réponse OCSP.