# OCSP {% hint style="info" %} これらの設定は Certificate Master ではなく、SCEPman App Service にのみ適用してください。こちらを参照してください [SCEPman Settings](/ja/scepman-gou-cheng/application-settings.md). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} バージョン2.9以降に適用 {% endhint %} **値:** *true* または *false* (既定) **説明:** これが *false* に設定されているか、設定されていない場合、CA 証明書が OCSP レスポンスに署名します。これはよりシンプルなアプローチです。 これが *true*に設定されている場合、SCEPman は動的に [Authorized Responder 証明書](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) を発行して OCSP レスポンスに署名します。この Authorized Responder は短い有効期間を持ち、必要になるたびに新しい証明書が自動的に発行されます。証明書とその秘密鍵はメモリ内にのみ保持されるため、SCEPman 管理者が Authorized Responder の証明書を管理する必要はありません。これにより Key Vault への依存が軽減され、応答時間と可用性が向上し、 [Key Vault のスロットリング制限](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) が、そうでなければ大規模な SCEPman インストール(> 約50kユーザー)に影響する可能性を回避する方法の1つとなります。 ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} バージョン2.9以降に適用 {% endhint %} **値:** 浮動小数点値 (*24.0* をデフォルトとして) **説明:** これは、UseAuthorizedResponder を *true*に設定して Authorized OCSP Responder を有効にした場合にのみ適用されます。この値は Authorized OCSP Responder 証明書の有効期限を決定します。デフォルトでは、発行の1日後に期限切れになります。なお、設定 [AppConfig:ValidityClockSkewMinutes](/ja/scepman-gou-cheng/application-settings/certificates.md#appconfig-validityclockskewminutes)により、発行日は過去にさかのぼって設定されるため、実際の有効期間は通常2日間です(過去に1日、未来に1日)。 ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **値:** 整数(*600* をデフォルトとして) **説明:** これは、有効な証明書に対する OCSP レスポンスの有効期間(秒)です。技術的には、有効期間内であれば、 [OCSP Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) が使用されていない場合、たとえばプロキシや内部 SCEPman キャッシュによって、OCSP レスポンスを再利用できます。Windows などの一部のシステムでは、OCSP レスポンスはその有効期間中クライアントキャッシュに保存され、証明書の有効性を確認する際、キャッシュ内に有効な OCSP レスポンスがすでに存在しない場合にのみ、新しい OCSP リクエストが送信されます。 したがって、この値は、証明書の失効から、OCSP レスポンスをキャッシュしているシステムが実際にその証明書を失効済みとして扱うまでの最大遅延を決定します。値を小さくすると、OCSP リクエスト数が増加し、その結果 SCEPman の負荷が高まる可能性があります。 ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **値:** 整数(*300* をデフォルトとして) **説明:** これは、無効化された証明書、つまり *On Hold* 失効ステータスを持つ証明書に対する OCSP レスポンスの有効期間(秒)です。これらの証明書は失効していますが、再び有効になる可能性があります。例としては、Entra ID で無効化されたデバイスのデバイス証明書や、 [高いユーザー リスク スコアを持つユーザー](/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-userriskcheck). この設定は、恒久的に失効した証明書には影響しません。これらの証明書の OCSP レスポンスは、失効ステータスがもはや変化しないため、有効期間が長くなっています。 したがって、この値は、証明書の有効性の回復(たとえば Entra ID でデバイスを有効化することによる)から、OCSP レスポンスをキャッシュしているシステムで実際に失効が取り消されるまでの最大遅延を決定します。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.