OCSP

AppConfig:OCSP:UseAuthorizedResponder

Linux: AppConfig__OCSP__UseAuthorizedResponder

Valor: true ou falso (predefinição)

Descrição: Se isto estiver definido para falso ou não estiver definido, o certificado da CA assinará as respostas OCSP. É a abordagem mais simples.

Se estiver definido para true, o SCEPman emitirá dinamicamente um certificado de Authorized Responder para assinar respostas OCSP. Este Authorized Responder tem uma validade curta e um novo certificado será emitido automaticamente sempre que necessário. O certificado, juntamente com a sua chave privada, será mantido apenas em memória, pelo que não há necessidade de os administradores do SCEPman gerirem o certificado do Authorized Responder. Isto reduz a dependência do Key Vault, melhorando os tempos de resposta e a disponibilidade, e é uma forma de evitar o limite de throttling do Key Vault que, de outra forma, poderia afetar uma instalação maior do SCEPman (> ~50k users).

AppConfig:OCSP:AuthorizedResponderValidityHours

Linux: AppConfig__OCSP__AuthorizedResponderValidityHours

Valor: Valor em ponto flutuante (24.0 como predefinição)

Descrição: Isto só é aplicável se ativar o Authorized OCSP Responder definindo UseAuthorizedResponder como true. Este valor determina a data de expiração do certificado do Authorized OCSP Responder. Por predefinição, expira um dia após a emissão. Note que, devido à definição AppConfig:ValidityClockSkewMinutes, a data de emissão é recuada e, por isso, a validade real é normalmente de dois dias (um no passado, um no futuro).

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceExists

Valor: Inteiro (600 como predefinição)

Descrição: Esta é a validade, em segundos, das respostas OCSP para certificados válidos. Tecnicamente, uma resposta OCSP pode ser reutilizada dentro da sua validade se não for usado qualquer OCSP Nonce por exemplo, por um proxy ou por uma cache interna do SCEPman. Em alguns sistemas como o Windows, a resposta OCSP é armazenada numa cache do cliente durante o seu período de validade e, ao verificar a validade de um certificado, uma nova solicitação OCSP só será enviada quando já não houver uma resposta OCSP válida na cache.

Portanto, o valor determina o atraso máximo entre a revogação de um certificado e o momento em que um sistema que faz cache de uma resposta OCSP trata efetivamente um certificado como revogado. Um número mais baixo pode aumentar o número de pedidos OCSP e, portanto, a carga sobre o SCEPman.

AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

Linux: AppConfig__OCSP__CacheTimeOutSecondsIfDeviceIsDisabled

Valor: Inteiro (300 como predefinição)

Descrição: Esta é a validade, em segundos, das respostas OCSP para certificados desativados, ou seja, que têm o estado de revogação On Hold . Estes certificados estão revogados, mas podem voltar a tornar-se válidos. Exemplos são certificados de dispositivo para dispositivos que estão desativados no Entra Id, ou certificados de utilizador para utilizadores com uma pontuação de risco de utilizador elevada.

A definição não tem influência sobre certificados permanentemente revogados. As respetivas respostas OCSP têm validades longas, uma vez que o seu estado de revogação já não pode mudar.

Portanto, o valor determina o atraso máximo entre a restauração da validade de um certificado (por exemplo, ao ativar um dispositivo no Entra ID) e o cancelamento efetivo da revogação num sistema que faz cache de uma resposta OCSP.