CRL

ハウツーガイド

証明書の有効性を制御する手法の一般的な比較については、 当社のブログ記事を参照してください.

AppConfig:CRL:RequestToken

Linux: AppConfig__CRL__RequestToken

値: 英数字とダッシュから成るカスタムのシークレット文字列

説明: この値を空文字列以外に設定すると、SCEPman から証明書失効リスト（CRL）をダウンロードできます。CRL の URL は https://scepman.contoso.de/crl/{RequestToken} です。ここで、scepman.contoso.de はお使いの SCEPman インスタンスのドメイン、{RequestToken} はここで設定したトークンです。

現在、CRL には失効済みの証明書がすべて含まれているわけではありません。そのため、失効済みの証明書を持ち、CRL にアクセスできる攻撃者は、その証明書が一覧にないことを理由に、実際には失効していないと相手を説得しようとする可能性があります。したがって、RequestToken はシークレットとして扱い、通常は必要な場合にのみこの機能を有効にしてください。CRL は、より優れた OCSP を使用できない場合にのみ使用してください。プロキシなどのネットワーク機器が CRL の URL をログに記録する可能性があることに注意してください。

AppConfig:CRL:Source

Linux: AppConfig__CRL__Source

値: なし （既定）または Storage

説明: この値を なしに設定すると、生成される CRL には失効済みの証明書がまったく含まれません。この値を Storageに設定すると、CRL には Azure Storage に保存されている手動で失効させたすべての証明書が含まれます。

OCSP によって自動的に失効した証明書は、CRL には含まれません。たとえば、デバイスを無効にすると、そのデバイスの証明書は OCSP により自動的に失効します。ただし、その証明書は CRL には含まれません。

AppConfig:CRL:AddCdp

Linux: AppConfig__CRL__AddCdp

値: false （既定）または true

説明: この値を trueの場合、SCEPman は発行された証明書に CRL 配布ポイント（CDP）拡張を追加し、SCEPman から現在の CRL をダウンロードするための URL を含めます。

AppConfig:CRL:ValidityDays

Linux: AppConfig__CRL__ValidityDays

値: 浮動小数点数

説明: 発行された CRL の有効日数です。何も設定されていない場合、CRL の有効期限は 0.1 日 = 2.4 時間（SCEPman 2.4 以降）または 30 日 （SCEPman 2.3）です。