> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/ocsp.md). # OCSP {% hint style="info" %} これらの設定は SCEPman App Service にのみ適用し、Certificate Master には適用しないでください。以下を参照してください [SCEPman 設定](/ja/scepman-gou-cheng/application-settings.md). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} バージョン 2.9 以降に適用されます {% endhint %} **値:** *true* (3.1 以降の既定値) または *false* **説明:** これを次に設定すると *false*、CA 証明書が OCSP 応答に署名します。こちらの方が簡単な方法です。 これを次に設定すると *true* または未設定の場合、SCEPman は動的に次のものを発行します [Authorized Responder 証明書](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) OCSP 応答に署名するためのものです。この Authorized Responder の有効期間は短く(下の AuthorizedResponderValidityHours を参照)、必要に応じて新しい証明書が自動的に発行されます。証明書とその秘密鍵はメモリ上にのみ保持されるため、SCEPman 管理者が Authorized Responders 証明書を管理する必要はありません。これにより Key Vault への依存が減り、応答時間と可用性が向上し、さらに次を回避する方法の一つになります [Key Vault のスロットリング制限](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) これは、そうでなければ大規模な SCEPman インストール(> 約5万人のユーザー)に影響する可能性があります。 ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} バージョン 2.9 以降に適用されます {% endhint %} **値:** 浮動小数点値 (*24.0* (既定値として) **説明:** これは、UseAuthorizedResponder を次に設定して Authorized OCSP Responder を有効にした場合にのみ適用されます *true*。この値は Authorized OCSP Responder 証明書の有効期限を決定します。既定では、発行から 1 日後に期限切れになります。次の設定のため、 [AppConfig:ValidityClockSkewMinutes](/ja/scepman-gou-cheng/application-settings/certificates.md#appconfig-validityclockskewminutes)、発行日は遡って設定されるため、実際の有効期間は通常 2 日間になります(過去 1 日、未来 1 日)。 ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **値:** 整数(*600* (既定値として) **説明:** これは、有効な証明書に対する OCSP 応答の有効期間を秒単位で表したものです。技術的には、OCSP 応答は、その有効期間内で再利用できます。もし [OCSP Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) が使用されていない場合、たとえばプロキシや SCEPman 内部キャッシュによるものです。Windows などの一部のシステムでは、OCSP 応答は有効期間中クライアント キャッシュに保存され、証明書の有効性を確認するときには、キャッシュに有効な OCSP 応答が既にない場合にのみ新しい OCSP 要求が送信されます。 したがって、この値は、証明書の失効と、OCSP 応答をキャッシュしているシステムが実際にその証明書を失効済みとして扱うまでの最大遅延を決定します。値を小さくすると OCSP 要求の回数が増え、結果として SCEPman への負荷が高くなる可能性があります。 ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **値:** 整数(*300* (既定値として) **説明:** これは、無効化された証明書に対する OCSP 応答の有効期間を秒単位で表したものです。つまり、次の *保留中* の失効状態です。これらの証明書は失効されていますが、再び有効になる可能性があります。例として、Entra ID で無効化されたデバイスのデバイス証明書や、次のユーザー証明書があります: [ユーザー リスク スコアが高いユーザー](/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-userriskcheck). この設定は、永久に失効した証明書には影響しません。これらの OCSP 応答の有効期間は長くなります。失効状態はもはや変更できないためです。 したがって、この値は、証明書の有効性を回復してから(たとえば、Entra ID でデバイスを有効にしてから)、OCSP 応答をキャッシュしているシステム上で実際に失効を取り消すまでの最大遅延を決定します。 --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.