# OCSP {% hint style="info" %} Ces paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à [SCEPman Settings](/fr/configuration-de-scepman/application-settings.md). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux : AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} Applicable à la version 2.9 et ultérieure {% endhint %} **Valeur :** *true* ou *false* (par défaut) **Description :** Si ce paramètre est défini sur *false* ou n’est pas défini, le certificat de l’AC signera les réponses OCSP. C’est l’approche la plus simple. S’il est défini sur *true*, SCEPman émettra dynamiquement un [certificat d’Authorized Responder](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) pour signer les réponses OCSP. Cet Authorized Responder a une courte durée de validité et un nouveau certificat sera émis automatiquement chaque fois que nécessaire. Le certificat ainsi que sa clé privée ne seront conservés qu’en mémoire, de sorte que les administrateurs SCEPman n’auront pas besoin de gérer le certificat de l’Authorized Responder. Cela réduit la dépendance à Key Vault, améliore les temps de réponse et la disponibilité, et constitue l’une des méthodes pour éviter la [limite de throttling de Key Vault](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) qui pourrait autrement affecter une grande installation SCEPman (> \~50k utilisateurs). ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux : AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} Applicable à la version 2.9 et ultérieure {% endhint %} **Valeur :** Valeur à virgule flottante (*24.0* comme valeur par défaut) **Description :** Ceci ne s’applique que si vous ակտիվez l’Authorized OCSP Responder en définissant UseAuthorizedResponder sur *true*. Cette valeur détermine la date d’expiration du certificat de l’Authorized OCSP Responder. Par défaut, il expire un jour après son émission. Notez qu’en raison du paramètre [AppConfig:ValidityClockSkewMinutes](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-validityclockskewminutes), la date d’émission est antidatée et la validité réelle est donc généralement de deux jours (un dans le passé, un dans le futur). ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux : AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **Valeur :** Entier (*600* comme valeur par défaut) **Description :** Il s’agit de la durée de validité en secondes des réponses OCSP pour les certificats valides. Techniquement, une réponse OCSP peut être réutilisée pendant sa validité si aucun [nonce OCSP](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) n’est utilisé, par exemple par un proxy ou par un cache interne SCEPman. Sur certains systèmes comme Windows, la réponse OCSP est stockée dans le cache client pendant sa période de validité, et lors de la vérification de la validité d’un certificat, une nouvelle requête OCSP ne sera envoyée que s’il n’existe pas déjà de réponse OCSP valide dans le cache. Par conséquent, la valeur détermine le délai maximal entre une révocation de certificat et le moment où un système mettant en cache une réponse OCSP traite effectivement un certificat comme révoqué. Un nombre plus faible peut augmenter le nombre de requêtes OCSP et donc la charge sur SCEPman. ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux : AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **Valeur :** Entier (*300* comme valeur par défaut) **Description :** Il s’agit de la durée de validité en secondes des réponses OCSP pour les certificats désactivés, c’est-à-dire ceux ayant l’état de révocation *On Hold* . Ces certificats sont révoqués, mais pourraient redevenir valides. Les exemples incluent les certificats d’appareil pour des appareils désactivés dans Entra Id, ou les certificats utilisateur pour [les utilisateurs avec un score de risque utilisateur élevé](/fr/configuration-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-userriskcheck). Ce paramètre n’a aucune influence sur les certificats révoqués de manière permanente. Leurs réponses OCSP ont de longues durées de validité, car leur état de révocation ne peut plus changer. Par conséquent, la valeur détermine le délai maximal entre la restauration de la validité d’un certificat (par exemple, en activant un appareil dans Entra ID) et l’annulation effective de la révocation sur un système mettant en cache une réponse OCSP. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/fr/configuration-de-scepman/application-settings/ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.