OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

(URI) true または false （デフォルト）

説明: これがに設定されている場合 false または設定されていない場合、CA証明書がOCSPレスポンスに署名します。これはより簡単な方法です。

これがに設定されている場合 true、SCEPmanは動的にを発行します 承認済みレスポンダー証明書 OCSPレスポンスに署名するため。この承認済みレスポンダーは有効期間が短く、必要に応じて自動的に新しい証明書が発行されます。証明書とその秘密鍵はメモリ上のみで保持されるため、SCEPman管理者が承認済みレスポンダーの証明書を管理する必要はありません。これによりKey Vaultへの依存が減り、応答時間と可用性が向上します。また、これは大規模なSCEPmanインストール（約50kユーザー以上）に影響を与える可能性のある問題を回避するための方法の一つです。 Key Vaultのスロットリング制限 それがなければ大きなSCEPman導入（約50kユーザー以上）に影響を与える可能性があります。

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

(URI) 浮動小数点値 (24.0 をデフォルトとして）

説明: これはUseAuthorizedResponderをに設定して承認済みOCSPレスポンダーを有効にした場合にのみ適用されます。 trueこの値は承認済みOCSPレスポンダー証明書の有効期限を決定します。デフォルトでは発行から1日後に失効します。設定のため、発行日は遡って設定されるため、実際の有効期間は通常2日（過去に1日、未来に1日）になります。 AppConfig:ValidityClockSkewMinutesそのため、発行日は遡って設定されるため、実際の有効期間は通常2日（過去に1日、未来に1日）になります。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

(URI) 整数（600 をデフォルトとして）

説明: これは有効な証明書に対するOCSPレスポンスの有効期間（秒）です。技術的には、OCSPレスポンスはOCSPノンスが使用されていない場合、プロキシや内部SCEPmanキャッシュなどによって有効期間内に再利用され得ます。 OCSPノンス の例として、Windowsのような一部のシステムではOCSPレスポンスがその有効期間中クライアントキャッシュに保存され、証明書の有効性を確認する際、キャッシュに有効なOCSPレスポンスがない場合にのみ新しいOCSPリクエストが送信されます。

したがって、この値は証明書の取り消しと、OCSPレスポンスをキャッシュするシステムが実際に証明書を取り消し済みと扱うまでの最大遅延を決定します。値を小さくするとOCSPリクエストの数が増え、SCEPmanへの負荷が増加する可能性があります。

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

(URI) 整数（300 をデフォルトとして）

説明: これは無効化された証明書、つまりが付与されている証明書に対するOCSPレスポンスの有効期間（秒）です。 保留中（On Hold） 取り消しステータスを持ちます。これらの証明書は取り消されていますが、再び有効になる可能性があります。例としてはEntra IDで無効化されたデバイスのデバイス証明書や、 高いユーザーリスクスコアを持つユーザーのユーザー証明書.

この設定は永久に取り消された証明書には影響しません。永久取り消しされた証明書のOCSPレスポンスは長い有効期間を持ちます。なぜならその取り消しステータスはもはや変更されえないためです。

したがって、この値は証明書の有効性が回復された場合（例：Entra IDでデバイスを有効にするなど）と、OCSPレスポンスをキャッシュするシステム上で実際に取り消しが解除されるまでの最大遅延を決定します。