OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

値: true (3.1 以降の既定値) または false

説明: これを次に設定すると false、CA 証明書が OCSP 応答に署名します。こちらの方が簡単な方法です。

これを次に設定すると true または未設定の場合、SCEPman は動的に次のものを発行します Authorized Responder 証明書 OCSP 応答に署名するためのものです。この Authorized Responder の有効期間は短く（下の AuthorizedResponderValidityHours を参照）、必要に応じて新しい証明書が自動的に発行されます。証明書とその秘密鍵はメモリ上にのみ保持されるため、SCEPman 管理者が Authorized Responders 証明書を管理する必要はありません。これにより Key Vault への依存が減り、応答時間と可用性が向上し、さらに次を回避する方法の一つになります Key Vault のスロットリング制限 これは、そうでなければ大規模な SCEPman インストール（> 約5万人のユーザー）に影響する可能性があります。

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

値: 浮動小数点値 (24.0 （既定値として）

説明: これは、UseAuthorizedResponder を次に設定して Authorized OCSP Responder を有効にした場合にのみ適用されます true。この値は Authorized OCSP Responder 証明書の有効期限を決定します。既定では、発行から 1 日後に期限切れになります。次の設定のため、 AppConfig:ValidityClockSkewMinutes、発行日は遡って設定されるため、実際の有効期間は通常 2 日間になります（過去 1 日、未来 1 日）。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

値: 整数（600 （既定値として）

説明: これは、有効な証明書に対する OCSP 応答の有効期間を秒単位で表したものです。技術的には、OCSP 応答は、その有効期間内で再利用できます。もし OCSP Nonce が使用されていない場合、たとえばプロキシや SCEPman 内部キャッシュによるものです。Windows などの一部のシステムでは、OCSP 応答は有効期間中クライアント キャッシュに保存され、証明書の有効性を確認するときには、キャッシュに有効な OCSP 応答が既にない場合にのみ新しい OCSP 要求が送信されます。

したがって、この値は、証明書の失効と、OCSP 応答をキャッシュしているシステムが実際にその証明書を失効済みとして扱うまでの最大遅延を決定します。値を小さくすると OCSP 要求の回数が増え、結果として SCEPman への負荷が高くなる可能性があります。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

値: 整数（300 （既定値として）

説明: これは、無効化された証明書に対する OCSP 応答の有効期間を秒単位で表したものです。つまり、次の 保留中 の失効状態です。これらの証明書は失効されていますが、再び有効になる可能性があります。例として、Entra ID で無効化されたデバイスのデバイス証明書や、次のユーザー証明書があります: ユーザー リスク スコアが高いユーザー.

この設定は、永久に失効した証明書には影響しません。これらの OCSP 応答の有効期間は長くなります。失効状態はもはや変更できないためです。

したがって、この値は、証明書の有効性を回復してから（たとえば、Entra ID でデバイスを有効にしてから）、OCSP 応答をキャッシュしているシステム上で実際に失効を取り消すまでの最大遅延を決定します。