OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

値: true または false （既定）

説明: これが false に設定されているか、設定されていない場合、CA 証明書が OCSP レスポンスに署名します。これはよりシンプルなアプローチです。

これが trueに設定されている場合、SCEPman は動的に Authorized Responder 証明書 を発行して OCSP レスポンスに署名します。この Authorized Responder は短い有効期間を持ち、必要になるたびに新しい証明書が自動的に発行されます。証明書とその秘密鍵はメモリ内にのみ保持されるため、SCEPman 管理者が Authorized Responder の証明書を管理する必要はありません。これにより Key Vault への依存が軽減され、応答時間と可用性が向上し、 Key Vault のスロットリング制限 が、そうでなければ大規模な SCEPman インストール（> 約50kユーザー）に影響する可能性を回避する方法の1つとなります。

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

値: 浮動小数点値 (24.0 をデフォルトとして）

説明: これは、UseAuthorizedResponder を trueに設定して Authorized OCSP Responder を有効にした場合にのみ適用されます。この値は Authorized OCSP Responder 証明書の有効期限を決定します。デフォルトでは、発行の1日後に期限切れになります。なお、設定 AppConfig:ValidityClockSkewMinutesにより、発行日は過去にさかのぼって設定されるため、実際の有効期間は通常2日間です（過去に1日、未来に1日）。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

値: 整数（600 をデフォルトとして）

説明: これは、有効な証明書に対する OCSP レスポンスの有効期間（秒）です。技術的には、有効期間内であれば、 OCSP Nonce が使用されていない場合、たとえばプロキシや内部 SCEPman キャッシュによって、OCSP レスポンスを再利用できます。Windows などの一部のシステムでは、OCSP レスポンスはその有効期間中クライアントキャッシュに保存され、証明書の有効性を確認する際、キャッシュ内に有効な OCSP レスポンスがすでに存在しない場合にのみ、新しい OCSP リクエストが送信されます。

したがって、この値は、証明書の失効から、OCSP レスポンスをキャッシュしているシステムが実際にその証明書を失効済みとして扱うまでの最大遅延を決定します。値を小さくすると、OCSP リクエスト数が増加し、その結果 SCEPman の負荷が高まる可能性があります。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

値: 整数（300 をデフォルトとして）

説明: これは、無効化された証明書、つまり On Hold 失効ステータスを持つ証明書に対する OCSP レスポンスの有効期間（秒）です。これらの証明書は失効していますが、再び有効になる可能性があります。例としては、Entra ID で無効化されたデバイスのデバイス証明書や、 高いユーザー リスク スコアを持つユーザー.

この設定は、恒久的に失効した証明書には影響しません。これらの証明書の OCSP レスポンスは、失効ステータスがもはや変化しないため、有効期間が長くなっています。

したがって、この値は、証明書の有効性の回復（たとえば Entra ID でデバイスを有効化することによる）から、OCSP レスポンスをキャッシュしているシステムで実際に失効が取り消されるまでの最大遅延を決定します。