# CRL

## Guia prático

{% content-ref url="../../gerenciamento-de-certificados/manage-certificates/enabling-crl" %}
[enabling-crl](https://docs.scepman.com/pt/gerenciamento-de-certificados/manage-certificates/enabling-crl)
{% endcontent-ref %}

{% hint style="info" %}
Estas definições só devem ser aplicadas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings).
{% endhint %}

Para uma comparação geral de técnicas para controlar a validade do certificado, consulte [o nosso artigo do blogue](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/).

## AppConfig:CRL:RequestToken

*Linux: AppConfig\_\_CRL\_\_RequestToken*

{% hint style="info" %}
Aplicável à versão 2.3 e superior
{% endhint %}

**Valor:** Uma string secreta personalizada composta por caracteres alfanuméricos e hífens

**Descrição:** Se definir este valor para qualquer coisa que não seja uma string vazia, pode descarregar uma Certificate Revocation List (CRL) do SCEPman. O URL da CRL é <https://scepman.contoso.de/crl/{RequestToken}>, onde scepman.contoso.de é o domínio da sua instância do SCEPman e {RequestToken} é o token configurado aqui.

A CRL atualmente não contém todos os certificados revogados. Assim, atacantes que possuam um certificado revogado e obtenham acesso à CRL podem usá-la para tentar convencer uma parte de que o seu certificado revogado na verdade não está revogado, porque não consta na lista. Por isso, deve tratar o RequestToken como um segredo e, em geral, ativar esta funcionalidade apenas se precisar dela. Deve usar a CRL apenas onde não seja possível usar o superior OCSP. Tenha em atenção que equipamentos de rede como proxies podem registar o URL da CRL.

## AppConfig:CRL:Source

*Linux: AppConfig\_\_CRL\_\_Source*

{% hint style="info" %}
Aplicável à versão 2.4 e superior
{% endhint %}

**Valor:** *Nenhum* (predefinição) ou *Storage*

**Descrição:** Se definir este valor para *Nenhum*, a CRL gerada não conterá quaisquer certificados revogados. Se definir este valor para *Storage*, a CRL conterá todos os certificados revogados manualmente que estão armazenados no Azure Storage.

Os certificados que são revogados automaticamente via OCSP não serão incluídos na CRL. Por exemplo, se desativar um dispositivo, o certificado do dispositivo será automaticamente revogado via OCSP. No entanto, o certificado não será incluído na CRL.

## AppConfig:CRL:AddCdp

*Linux: AppConfig\_\_CRL\_\_AddCdp*

{% hint style="info" %}
Aplicável à versão 2.10 e superior
{% endhint %}

**Valor:** *falso* (predefinição) ou *true*

**Descrição:** Se definir este valor para *true*, o SCEPman adiciona uma extensão CRL Distribution Point (CDP) aos certificados emitidos, que contém o URL a partir do qual descarregar a CRL atual do SCEPman.

## AppConfig:CRL:ValidityDays

*Linux: AppConfig\_\_CRL\_\_ValidityDays*

**Valor:** *Número de ponto flutuante*

**Descrição:** O número de dias durante os quais uma CRL emitida é válida. Se nada estiver configurado, as CRLs serão válidas durante **0,1 dias** = 2,4 horas (SCEPman 2.4 e mais recente) ou **30 dias** (SCEPman 2.3).