OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux : AppConfig__OCSP__UseAuthorizedResponder

Valeur : vrai (par défaut depuis 3.1) ou faux

Description : Si ce paramètre est défini sur faux, le certificat de l’AC signera les réponses OCSP. C’est l’approche la plus simple.

S’il est défini sur vrai ou n’est pas défini, SCEPman émettra dynamiquement un certificat du répondeur autorisé pour signer les réponses OCSP. Ce répondeur autorisé a une courte durée de validité (voir AuthorizedResponderValidityHours ci-dessous) et un nouveau certificat sera émis automatiquement dès que nécessaire. Le certificat, ainsi que sa clé privée, ne seront conservés qu’en mémoire, de sorte qu’il n’est pas nécessaire que les administrateurs SCEPman gèrent le certificat du répondeur autorisé. Cela réduit la dépendance à Key Vault, améliore les temps de réponse et la disponibilité, et constitue une méthode pour éviter la limite de débit de Key Vault qui pourrait autrement affecter une installation SCEPman plus grande (> ~50k utilisateurs).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux : AppConfig__OCSP__AuthorizedResponderValidityHours

Valeur : Valeur à virgule flottante (24.0 (par défaut)

Description : Ceci ne s’applique que si vous activez le répondeur OCSP autorisé en définissant UseAuthorizedResponder sur vrai. Cette valeur détermine la date d’expiration du certificat du répondeur OCSP autorisé. Par défaut, il expire un jour après son émission. Notez qu’en raison du paramètre AppConfig:ValidityClockSkewMinutes, la date d’émission est antidatée et, par conséquent, la validité réelle est généralement de deux jours (un dans le passé, un dans le futur).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux : AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valeur : Entier (600 (par défaut)

Description : Il s’agit de la validité, en secondes, des réponses OCSP pour les certificats valides. Techniquement, une réponse OCSP peut être réutilisée pendant sa période de validité s’il n’y a pas de nonce OCSP utilisé, par exemple par un proxy ou un cache interne SCEPman. Sur certains systèmes comme Windows, la réponse OCSP est stockée dans un cache client pendant sa période de validité, et lors de la vérification de la validité d’un certificat, une nouvelle requête OCSP ne sera envoyée que s’il n’existe pas déjà de réponse OCSP valide dans le cache.

Par conséquent, la valeur détermine le délai maximal entre la révocation d’un certificat et le moment où un système mettant en cache une réponse OCSP traite effectivement un certificat comme révoqué. Un nombre plus faible pourrait augmenter le nombre de requêtes OCSP et donc la charge sur SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux : AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valeur : Entier (300 (par défaut)

Description : Il s’agit de la validité, en secondes, des réponses OCSP pour les certificats désactivés, c’est-à-dire ceux qui ont l’état de révocation On Hold Ces certificats sont révoqués, mais pourraient redevenir valides. Exemples : certificats d’appareil pour des appareils désactivés dans Entra ID, ou certificats utilisateur pour des utilisateurs avec un score de risque utilisateur élevé.

Ce paramètre n’a aucune influence sur les certificats révoqués définitivement. Leurs réponses OCSP ont de longues durées de validité, car leur état de révocation ne peut plus changer.

Par conséquent, la valeur détermine le délai maximal entre la restauration de la validité d’un certificat (par exemple en activant un appareil dans Entra ID) et l’annulation effective de la révocation sur un système mettant en cache une réponse OCSP.