CRL

ハウツーガイド

証明書の有効性を制御する手法の一般的な比較については、以下をご覧ください 当社のブログ記事.

AppConfig:CRL:RequestToken

Linux: AppConfig__CRL__RequestToken

(URI) 英数字とダッシュで構成されたカスタムシークレット文字列

説明: この値を空文字列以外に設定すると、SCEPmanから証明書失効リスト（CRL）をダウンロードできます。CRLのURLは https://scepman.contoso.de/crl/{RequestToken} で、scepman.contoso.de はあなたのSCEPmanインスタンスのドメイン、{RequestToken} はここで設定したトークンです。

現在のCRLにはすべての失効済み証明書が含まれているわけではありません。したがって、失効済み証明書を持つ攻撃者がCRLにアクセスできると、その証明書がリストにないため失効していないと主張しようとする可能性があります。したがって、RequestTokenは機密として扱うべきであり、この機能は必要な場合にのみ有効にするべきです。可能な限り優れたOCSPを使用できる場所ではCRLの使用を避けてください。プロキシなどのネットワーク機器がCRLのURLをログに記録する可能性があることにも注意してください。

AppConfig:CRL:Source

Linux: AppConfig__CRL__Source

(URI) なし （デフォルト）または ストレージ

説明: この値を なしに設定すると、生成されるCRLには失効済み証明書は一切含まれません。この値を ストレージに設定すると、CRLにはAzure Storageに保存されている手動で失効させたすべての証明書が含まれます。

OCSPを介して自動的に失効される証明書はCRLに含まれません。たとえば、デバイスを無効化すると、そのデバイスの証明書はOCSPを通じて自動的に失効されます。ただし、その証明書はCRLには含まれません。

AppConfig:CRL:AddCdp

Linux: AppConfig__CRL__AddCdp

(URI) false （デフォルト）または true

説明: この値を trueに設定すると、SCEPmanは発行された証明書にCRL配布ポイント（CDP）拡張を追加し、そこにはSCEPmanから現在のCRLをダウンロードするためのURLが含まれます。

AppConfig:CRL:ValidityDays

Linux: AppConfig__CRL__ValidityDays

(URI) 浮動小数点数

説明: 発行されたCRLの有効日数。何も設定されていない場合、CRLの有効期間は 0.1日 ＝2.4時間（SCEPman 2.4以降）または 30日 （SCEPman 2.3）。