# OCSP

{% hint style="info" %}
Estas definições só devem ser aplicadas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](/pt/configuracao-do-scepman/application-settings.md).
{% endhint %}

## AppConfig:OCSP:UseAuthorizedResponder

*Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder*

{% hint style="info" %}
Aplicável à versão 2.9 e superior
{% endhint %}

**Valor:** *true* ou *falso* (predefinição)

**Descrição:** Se isto estiver definido para *falso* ou não estiver definido, o certificado da CA assinará as respostas OCSP. É a abordagem mais simples.

Se estiver definido para *true*, o SCEPman emitirá dinamicamente um [certificado de Authorized Responder](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) para assinar respostas OCSP. Este Authorized Responder tem uma validade curta e um novo certificado será emitido automaticamente sempre que necessário. O certificado, juntamente com a sua chave privada, será mantido apenas em memória, pelo que não há necessidade de os administradores do SCEPman gerirem o certificado do Authorized Responder. Isto reduz a dependência do Key Vault, melhorando os tempos de resposta e a disponibilidade, e é uma forma de evitar o [limite de throttling do Key Vault](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) que, de outra forma, poderia afetar uma instalação maior do SCEPman (> \~50k users).

## AppConfig:OCSP:AuthorizedResponderValidityHours

*Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours*

{% hint style="info" %}
Aplicável à versão 2.9 e superior
{% endhint %}

**Valor:** Valor em ponto flutuante (*24.0* como predefinição)

**Descrição:** Isto só é aplicável se ativar o Authorized OCSP Responder definindo UseAuthorizedResponder como *true*. Este valor determina a data de expiração do certificado do Authorized OCSP Responder. Por predefinição, expira um dia após a emissão. Note que, devido à definição [AppConfig:ValidityClockSkewMinutes](/pt/configuracao-do-scepman/application-settings/certificates.md#appconfig-validityclockskewminutes), a data de emissão é recuada e, por isso, a validade real é normalmente de dois dias (um no passado, um no futuro).

## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists

*Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists*

**Valor:** Inteiro (*600* como predefinição)

**Descrição:** Esta é a validade, em segundos, das respostas OCSP para certificados válidos. Tecnicamente, uma resposta OCSP pode ser reutilizada dentro da sua validade se não for usado qualquer [OCSP Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) por exemplo, por um proxy ou por uma cache interna do SCEPman. Em alguns sistemas como o Windows, a resposta OCSP é armazenada numa cache do cliente durante o seu período de validade e, ao verificar a validade de um certificado, uma nova solicitação OCSP só será enviada quando já não houver uma resposta OCSP válida na cache.

Portanto, o valor determina o atraso máximo entre a revogação de um certificado e o momento em que um sistema que faz cache de uma resposta OCSP trata efetivamente um certificado como revogado. Um número mais baixo pode aumentar o número de pedidos OCSP e, portanto, a carga sobre o SCEPman.

## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled

*Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled*

**Valor:** Inteiro (*300* como predefinição)

**Descrição:** Esta é a validade, em segundos, das respostas OCSP para certificados desativados, ou seja, que têm o estado de revogação *On Hold* . Estes certificados estão revogados, mas podem voltar a tornar-se válidos. Exemplos são certificados de dispositivo para dispositivos que estão desativados no Entra Id, ou certificados de utilizador para [utilizadores com uma pontuação de risco de utilizador elevada](/pt/configuracao-do-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-userriskcheck).

A definição não tem influência sobre certificados permanentemente revogados. As respetivas respostas OCSP têm validades longas, uma vez que o seu estado de revogação já não pode mudar.

Portanto, o valor determina o atraso máximo entre a restauração da validade de um certificado (por exemplo, ao ativar um dispositivo no Entra ID) e o cancelamento efetivo da revogação num sistema que faz cache de uma resposta OCSP.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/ocsp.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.