OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Valor: true ou false (padrão)

Descrição: Se isto for definido como false ou não definido, o certificado da CA assinará as Respostas OCSP. É a abordagem mais simples.

Se estiver definido como true, o SCEPman emitirá dinamicamente um certificado de Responder Autorizado para assinar Respostas OCSP. Este Responder Autorizado tem uma validade curta e um novo certificado será emitido automaticamente sempre que necessário. O certificado junto com sua chave privada será mantido apenas em memória, portanto não há necessidade de os administradores do SCEPman gerenciarem o certificado do Responder Autorizado. Isso reduz a dependência do Key Vault, melhorando os tempos de resposta e a disponibilidade, e é um método para evitar o limite de limitação (throttling) do Key Vault que poderia, de outra forma, afetar instalações maiores do SCEPman (> ~50k usuários).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Valor: Valor ponto flutuante (24.0 como padrão)

Descrição: Isto só é aplicável se você ativar o Responder OCSP Autorizado definindo UseAuthorizedResponder como true. Este valor determina a data de expiração do certificado do Responder OCSP Autorizado. Por padrão, ele expira um dia após a emissão. Note que devido à configuração AppConfig:ValidityClockSkewMinutes, a data de emissão é retrocedida e, portanto, a validade real normalmente é de dois dias (um no passado, um no futuro).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valor: Inteiro (600 como padrão)

Descrição: Esta é a validade em segundos das Respostas OCSP para certificados válidos. Tecnicamente, uma Resposta OCSP pode ser reutilizada dentro de sua validade se nenhum OCSP Nonce for usado, por exemplo por um proxy ou um cache interno do SCEPman. Em alguns sistemas como o Windows, a Resposta OCSP é armazenada em um cache do cliente durante seu período de validade, e ao verificar a validade de um certificado, uma nova Requisição OCSP só será enviada quando não houver uma Resposta OCSP válida já no cache.

Portanto, o valor determina o atraso máximo entre uma revogação de certificado e quando um sistema que faz cache de uma resposta OCSP de fato trata o certificado como revogado. Um número menor pode aumentar o número de requisições OCSP e, portanto, a carga no SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valor: Inteiro (300 como padrão)

Descrição: Esta é a validade em segundos das Respostas OCSP para certificados desabilitados, ou seja, que possuem o estado de revogação Em Espera (On Hold) Esses certificados estão revogados, mas podem voltar a ser válidos. Exemplos são certificados de dispositivos para dispositivos que estão desabilitados no Entra Id, ou certificados de usuário para usuários com um alto escore de risco de usuário.

A configuração não tem influência sobre certificados permanentemente revogados. Suas respostas OCSP têm validades longas, pois o status de revogação deles não pode mais mudar.

Portanto, o valor determina o atraso máximo entre a restauração da validade de um certificado (por exemplo, ao habilitar um dispositivo no Entra ID) e o cancelamento efetivo da revogação em um sistema que faz cache de uma resposta OCSP.