# OCSP {% hint style="info" %} Estas definições só devem ser aplicadas ao SCEPman App Service, não ao Certificate Master. Consulte [Definições do SCEPman](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings). {% endhint %} ## AppConfig:OCSP:UseAuthorizedResponder *Linux: AppConfig\_\_OCSP\_\_UseAuthorizedResponder* {% hint style="info" %} Aplicável à versão 2.9 e superior {% endhint %} **Valor:** *true* ou *falso* (predefinição) **Descrição:** Se isto estiver definido para *falso* ou não estiver definido, o certificado da CA assinará as respostas OCSP. É a abordagem mais simples. Se estiver definido para *true*, o SCEPman emitirá dinamicamente um [certificado de Authorized Responder](https://datatracker.ietf.org/doc/html/rfc6960#section-4.2.2.2) para assinar respostas OCSP. Este Authorized Responder tem uma validade curta e um novo certificado será emitido automaticamente sempre que necessário. O certificado, juntamente com a sua chave privada, será mantido apenas em memória, pelo que não há necessidade de os administradores do SCEPman gerirem o certificado do Authorized Responder. Isto reduz a dependência do Key Vault, melhorando os tempos de resposta e a disponibilidade, e é uma forma de evitar o [limite de throttling do Key Vault](https://learn.microsoft.com/en-us/azure/key-vault/general/service-limits) que, de outra forma, poderia afetar uma instalação maior do SCEPman (> \~50k users). ## AppConfig:OCSP:AuthorizedResponderValidityHours *Linux: AppConfig\_\_OCSP\_\_AuthorizedResponderValidityHours* {% hint style="info" %} Aplicável à versão 2.9 e superior {% endhint %} **Valor:** Valor em ponto flutuante (*24.0* como predefinição) **Descrição:** Isto só é aplicável se ativar o Authorized OCSP Responder definindo UseAuthorizedResponder como *true*. Este valor determina a data de expiração do certificado do Authorized OCSP Responder. Por predefinição, expira um dia após a emissão. Note que, devido à definição [AppConfig:ValidityClockSkewMinutes](https://docs.scepman.com/pt/configuracao-do-scepman/certificates#appconfig-validityclockskewminutes), a data de emissão é recuada e, por isso, a validade real é normalmente de dois dias (um no passado, um no futuro). ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceExists *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceExists* **Valor:** Inteiro (*600* como predefinição) **Descrição:** Esta é a validade, em segundos, das respostas OCSP para certificados válidos. Tecnicamente, uma resposta OCSP pode ser reutilizada dentro da sua validade se não for usado qualquer [OCSP Nonce](https://datatracker.ietf.org/doc/html/rfc6960#section-4.4.1) por exemplo, por um proxy ou por uma cache interna do SCEPman. Em alguns sistemas como o Windows, a resposta OCSP é armazenada numa cache do cliente durante o seu período de validade e, ao verificar a validade de um certificado, uma nova solicitação OCSP só será enviada quando já não houver uma resposta OCSP válida na cache. Portanto, o valor determina o atraso máximo entre a revogação de um certificado e o momento em que um sistema que faz cache de uma resposta OCSP trata efetivamente um certificado como revogado. Um número mais baixo pode aumentar o número de pedidos OCSP e, portanto, a carga sobre o SCEPman. ## AppConfig:OCSP:CacheTimeOutSecondsIfDeviceIsDisabled *Linux: AppConfig\_\_OCSP\_\_CacheTimeOutSecondsIfDeviceIsDisabled* **Valor:** Inteiro (*300* como predefinição) **Descrição:** Esta é a validade, em segundos, das respostas OCSP para certificados desativados, ou seja, que têm o estado de revogação *On Hold* . Estes certificados estão revogados, mas podem voltar a tornar-se válidos. Exemplos são certificados de dispositivo para dispositivos que estão desativados no Entra Id, ou certificados de utilizador para [utilizadores com uma pontuação de risco de utilizador elevada](https://docs.scepman.com/pt/configuracao-do-scepman/scep-endpoints/intune-validation#appconfig-intunevalidation-userriskcheck). A definição não tem influência sobre certificados permanentemente revogados. As respetivas respostas OCSP têm validades longas, uma vez que o seu estado de revogação já não pode mudar. Portanto, o valor determina o atraso máximo entre a restauração da validade de um certificado (por exemplo, ao ativar um dispositivo no Entra ID) e o cancelamento efetivo da revogação num sistema que faz cache de uma resposta OCSP.