зачем он нужен и что с ним делать
Женщина в период беременности, во время и после родов имеет право на бесплатную медицинскую помощь в государственных медучреждениях. Чтобы женщина и ребенок получали качественную медпомощь, государство ввело программу родовых сертификатов. По такому сертификату медицинские организации получают выплаты от Фонда социального страхования. При этом сертификат не влияет на то, где женщина будет вести беременность и рожать — клинику для консультаций и роддом она выбирает сама.
Вероника Нецова
получила родовый сертификат
Расскажу в статье, как оформить родовый сертификат и где его можно использовать.
Что такое родовый сертификат
Родовый сертификат — это специальный документ, который позволяет медицинским организациям получать деньги за качественно оказанную медицинскую помощь.
Так выглядят корешок и талон № 1 родового сертификатаА вот остальные талоны и сам сертификат. В женской консультации выдают родовый сертификат без корешка и талона № 1 — они остаются для подтверждения выдачи документов и оплаты услуг консультацииКорешок родового сертификата остается в медицинском учреждении, где женщина его получила, например в женской консультации. Он подтверждает, что сертификат выдали.
Талонов родового сертификата четыре:
- Талон № 1 нужен для оплаты услуг по медицинской помощи того учреждения, в котором стояла на учете и наблюдалась беременная женщина.
- Талон № 2 — для оплаты медицинских услуг родильных домов.
- Талон № 3-1 пойдет на оплату услуг за первые шесть месяцев диспансерного наблюдения ребенка.
- Талон № 3-2 — за вторые шесть месяцев.
Медицинские учреждения собирают талоны родовых сертификатов, передают их в региональное отделение Фонда социального страхования и получают деньги.
Сам родовый сертификат выдается женщине при выписке из роддома. Он подтверждает, что она получила медицинскую помощь во время беременности, родов и послеродовой период. На сертификате указывают данные пациентки, дату рождения ребенка, его рост и вес при рождении.
Родовым сертификатом называют весь документ с талонами и одну из частей сертификата, которая остается у женщины
Чем родовый сертификат отличается от обменной карты и диспансерной книжки
Беременные встают на учет в женскую консультацию или медицинский центр. Там они проходят осмотры и сдают анализы. На каждую женщину медучреждение заводит обменную карту и диспансерную книжку.
Обменную карту выдают на руки беременной. С ней женщина едет рожать и передает ее в роддом при оформлении. В обменной карте врачи смотрят, здорова ли женщина. Если карты нет, ее положат в инфекционное отделение. Диспансерная книжка хранится только в медицинском учреждении.
Родовый сертификат — документ другого назначения. Он ничего не говорит о здоровье беременной женщины и нужен роддому только для того, чтобы получить выплаты из ФСС.
Это обменная карта. Обложка в разных регионах или районных женских консультациях может выглядеть по-разному, но внутри документ одинаковыйСначала обменную карту заполняет врач консультации, потом — работник роддома. В ней он записывает информацию о родах и состоянии женщины после нихСумма родового сертификата
В 2020 году медучреждение может получить по родовому сертификату максимум 12 000 Р. Вот за какие услуги ФСС перечисляет деньги медицинским организациям:
- За медицинские услуги — 3000 Р, за услуги правовой, психологической и медико-социальной помощи — 1000 Р. В итоге за каждую женщину поликлиника может получить максимум 4000 Р.
- Помощь во время родов и в послеродовой период — 6000 Р. Эти деньги получает роддом.
- За каждого ребенка, которого поставили на учет до трех месяцев и который проходил профилактические осмотры в первые шесть месяцев с даты постановки на учет, — 1000 Р. Деньги идут детской поликлинике.
- За каждого ребенка, которого осматривали в течение следующих шести месяцев с даты постановки на учет, — 1000 Р.
п. 8 Правил, утв. Постановлением Правительства РФ от 31.12.2010 № 1233
К сожалению, ФСС считает, что услуги были оказаны некачественно, только если у женщины или новорожденного ребенка есть осложнения. В таком случае ФСС оплачивает медуслуги не полностью или не оплачивает вообще.
Если вы считаете, что медицинские услуги вам оказали некачественно, звоните на горячую линию ФСС и пишите жалобу на имя главврача учреждения. В жалобе необходимо сформулировать свои пожелания: например, чтобы врач принес извинения или чтобы ему сделали выговор. На письменную жалобу вам должны ответить в течение 30 дней. Если врач часто хамит, его могут уволить.
Что закон говорит о врачах
Заберите свое у государства!
Как получать вычеты, льготы и пособия, рассказываем в нашей рассылке раз в месяц. Подпишитесь!
Правила оформления
Когда и где выдают. Родовый сертификат можно получить с 30-й недели при одноплодной беременности и с 28-й недели — при многоплодной. Его выдают в государственном или муниципальном медучреждении: в женской консультации или роддоме. Причем получить его можно в любой момент до того, как ребенку исполнится три месяца. Если женщина потеряет сертификат, ей нужно обратиться в выдавшее сертификат учреждение, чтобы получить дубликат, например в консультацию или роддом.
пп. 6, 7, 12 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Женщина, которая ведет беременность платно, может получить родовый сертификат в женской консультации по месту жительства. Он ей пригодится, если она планирует рожать бесплатно в государственном учреждении или водить ребенка в государственную поликлинику. Если женщина не получит сертификат и поедет в государственный роддом без него — ничего страшного: роддом оформит сертификат самостоятельно.
Еще сертификат может получить женщина, усыновившая ребенка возрастом до трех месяцев, — мужчине его не выдадут. Женщина может получить сертификат в детской поликлинике при постановке ребенка на учет, если до момента постановки на учет ему не исполнилось трех месяцев.
п. 7 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Какие нужны документы. Для получения сертификата женщина представляет своему врачу следующие документы:
- Паспорт или другой документ, удостоверяющий личность: удостоверение личности офицера или военный билет — для военнослужащих, свидетельство о рождении — для девочек младше 14 лет.
- Полис ОМС.
- СНИЛС.
п. 5 порядка, утв. Приказом Минздравсоцразвития России от 15.01.2007 № 33
Если у женщины нет полиса, СНИЛС или регистрации по месту жительства, то ей все равно выдадут сертификат. В сертификате отметят в специальных полях, почему этих документов или регистрации не было. Сертификат не дадут иностранцам без разрешения на временное проживание или вида на жительство в РФ.
п. 6 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Кто и как использует сертификат
Воспользоваться родовым сертификатом могут только государственные медучреждения, которые оказывают медицинскую помощь по полису ОМС.
Работает это так. Территориальный орган Фонда социального страхования Российской Федерации и медицинская организация заключают специальный договор. Затем медорганизация оказывает женщине медицинские услуги, получает от нее талон родового сертификата и отправляет его в территориальный орган ФСС. После этого получает вознаграждение за качественно оказанные медуслуги.
Сколько стоит родить в Москве
При этом медорганизация должна иметь специальную лицензию на медицинскую деятельность по следующим направлениям:
- Акушерство и гинекология — чтобы получить оплату за услуги по медицинской помощи женщинам в период беременности.
- Акушерство и гинекология, педиатрия или неонатология — чтобы получить оплату услуг по медицинской помощи женщинам и новорожденным в период родов и послеродовой период.
- Педиатрия, неврология, офтальмология, детская хирургия, оториноларингология, детская стоматология, травматология и ортопедия, лабораторная диагностика, функциональная диагностика, ультразвуковая диагностика — чтобы получить оплату за профилактические медицинские осмотры ребенка в первый год жизни. Если какой-то лицензии у медицинской организации нет, она направляет пациентов в клинику, у которой лицензия есть.
Этапы заполнения и получения талонов. Вот где заполняют талоны в родовом сертификате:
- Пункты 1—5 родового сертификата, его корешок, талон № 1 и пункты 1—8 талона № 2 заполняет врач медучреждения, где женщина получила сертификат, чаще всего — женской консультации. Корешок и талон № 1 остаются там.
- Пункты 9—11 талона № 2 заполняет медицинский работник роддома. Он остается в роддоме, в котором рожала женщина. Там же заполняют пункты 6—10 родового сертификата.
- Родовый сертификат и талоны № 3-1 и № 3-2 выдаются женщине при выписке из роддома.
Инструкция по заполнению родового сертификата
После талоны № 3 нужно передать в детское лечебное учреждение, где будут осматривать новорожденного. Талон № 3-1 пойдет на оплату услуг за первые шесть месяцев диспансерного наблюдения ребенка, талон № 3-2 — за вторые шесть месяцев.
Сколько стоит ребенок в первый год
Руководитель учреждения подписывает запись в каждом талоне и ставит печать.
Куда отдавать сертификат после родов. Талоны № 3-1 и № 3-2 родового сертификата нужно отдать в детскую поликлинику при постановке ребенка на учет. Сам родовый сертификат остается у женщины, отдавать его никуда не нужно.
Родовый сертификат остался у меня после выписки из роддомаОграничения при использовании
Родовый сертификат нельзя обналичить. Все деньги по этому сертификату пойдут медицинским учреждениям: поликлинике, роддому, женской консультации.
Женская консультация не получит деньги, если женщина наблюдалась там менее 12 недель.
Роддому откажут в выплате в следующих случаях:
- Если мать или ребенок умрут, пока находятся там. При этом роддом получит деньги, если родилась двойня и погиб только один ребенок.
- Если ребенок родился вне роддома — например, в автомобиле скорой помощи, в фельдшерско-акушерском пункте и т. д.
Детские поликлиники не получат оплату по сертификатам в следующих случаях:
- Ребенка поставили на учет после того, как ему исполнилось 3 месяца.
- Ребенок умер в первый год жизни.
- Детская поликлиника вовремя не начала или не закончила медосмотры ребенка.
- Детская поликлиника поздно заполнила талоны и сдала их в ФСС.
Пособия на ребенка в 2020 году
Запомнить
- Родовый сертификат нужен государственным медицинским учреждениям для получения выплат из ФСС. Обналичить и забрать деньги себе не получится.
- Если вы наблюдаетесь платно, планируете рожать по контракту и записать ребенка в частную клинику, родовый сертификат вам не нужен. Но если передумаете и поедете в роддом за бесплатной медициной — езжайте спокойно даже без сертификата на руках: роддом оформит его самостоятельно.
- Если считаете, что медуслуги были оказаны некачественно и женская консультация, роддом или детская поликлиника не достойны выплат из ФСС, позвоните на горячую линию ФСС и расскажите о нарушениях. Скорее всего, выплаты медучреждение получит, но при этом может попасть под проверку.
особенности и порядок процедуры в 2020 году
Родовой сертификат, который выдается на руки беременной женщине — это не просто бумага: он помогает при обращении во многие государственные учреждения и наделяет правом выбрать роддом и получить бесплатные роды. Процедура выдачи родовых сертификатов закреплена в Приказе Министерства здравоохранения.
Куда отдавать после родов родовой сертификат, чтобы получить все те привилегии, которые он дает. Об этом далее.
Скачать для просмотра и печати:Приказ Минздрава России от 16.07.2014 N 370н “Об утверждении порядка и условий оплаты медицинским организациям услуг по медицинской помощи, оказанной женщинам в период беременности”
Приказ Минздравсоцразвития РФ от 28.11.2005 N 701 (ред. от 08.05.2009) “О родовом сертификате”
Как получить родовой сертификат
Родовой документ позволяет бесплатно родить и вставать на учет в любой детской больнице. Также с помощью этого документа государство будет делать определенные отчисления в то учреждение, в котором наблюдается беременная и конкретно ее лечащему врачу.
Для того чтобы получить родовой сертификат в 2020 году необходимо пойти в женскую консультацию, где наблюдается беременная, и предоставить обменную карту. Сотрудники женской консультации выдадут бумагу, которая будет подтверждать нетрудоспособность, и займутся оформлением документа на роды.
Помимо обменной карты, понадобится:
- документ, который подтверждает личность обратившейся мамы;
- страховой полис;
- СНИЛС.
Из чего состоит документ
Документ на роды в 2020 году, как и раньше, состоит из нескольких талончиков, которые понадобятся на разных этапах ношения плода и родов. Женщине всегда помогут разобраться, куда отдавать определенный талон, врачи женской консультации или сотрудники в родильном отделении.
Важно! Когда беременная решила рожать своего ребенка в частной клинике, она все равно может получить родовой сертификат, даже несмотря на то, что частные клиники его не выдают.Такой клинике будет выдано специальное направление в женскую консультацию, находящуюся в районе проживания беременной женщины. И уже на это направление, представив дополнительные документы, можно получить родовой сертификат.
Куда отдавать родовой сертификат
Отдавать родовой сертификат, точнее, отдельные талончики от него, придется на разных этапах беременности. После первая часть талона остается в женской консультации, именно по нему учреждение получит из фонда социального страхования денежную компенсацию за помощь в ведении беременности (как минимум 12 недель).
Вторая часть бумаги остается в родильном отделении. Она подлежит предъявления в ФСС для закрытия расходов, которые организация понесла во время того, как оказывала беременной услуги.
В эти расходы могут входить:
- роды, происходящие раньше срока;
- реанимация малыша и мамы;
- процедура восстановления и ухода за женщиной и ее новорожденным ребенком.
Остальные два талона понадобятся при выписке из родильного дома и постановке малыша на учет в детскую больницу.
Процедура передачи документа при выписке
Сотрудники учреждения вправе забрать необходимые талончики самостоятельно, в процессе того, как готовит документы к выписке из родильного дома.
Варианты развития событий:
- оставит талон в роддоме;
- отдаст родившей женщине, с пометкой не подлежит погашению (в случаях, когда она платила за все из своего кармана).
То есть женщине самой не нужно переживать о том, куда отдавать родовой сертификат после родов, сотрудники медицинского учреждения сделают все сами.
Ведь они заинтересованы в том, чтобы по нему были погашены все расходы, которые понесла их клиника, в связи с обслуживанием беременной женщины. Внимание! В ситуациях, когда женщина оплачивает роды и уход сама, то отдавать родовой сертификат после родов не нужно.Также если она осталась недовольна обслуживанием в женской консультации или родильном отделении она вправе не отдавать родовой сертификат.
Предоставление в детской больнице
После выписки у женщины останется бумага с двумя талончиками, которые понадобятся при постановке новорожденного на учет в больнице. После того как женщина получит данный документ, который уже будет содержать два талона, нужно будет поставить ребенка на учет в медицинское учреждение.
- Первый корешок имеет цель позволить младенцу бесплатно проходить обследование у медицинских специалистов узкого профиля, получать вакцинации и проходить диспансеризацию до наступления полугода.
- Второй корешок позволяет получать бесплатное наблюдение малыша от полугода до одного года.
Если родители решили наблюдать ребенка в частной клинике, они также вправе оставить его себе. Отдавать родовой сертификат после родов в детскую больницу целенаправленно не нужно, медсестра сама заберет при оформлении документов все талончики.
Обычно после рождения младенца к женщине сами обращаются врачи или медсестры той клиники, к которой ее малыш отнесен территориально и просят отдать данный документ.
Когда документ не подлежит оплате
По данному документу, лечебному учреждению не положены выплаты только в случаях:
- малыш был поставлен на учет после исполнения им трех месяцев;
- первые 6 месяцев наблюдения в диспансере закончились, когда малышу уже исполнился один год;
- младенец умер в период диспансерного учета до наступления им одного года.
Женские консультации и детские поликлиники очень заинтересованы в этих бумагах, так как хоть и небольшие, но выплаты от государства идут. Но, если женщина не хочет использовать свой сертификат, то ее никто не может заставить, ее право оставить его у себя.
Последние изменения
Наши эксперты отслеживают все изменения в законодательстве, чтобы сообщать вам достоверную информацию.
Подписывайтесь на наши обновления!
Посмотрите видео о том, как работает родовой сертификат
для чего он нужен? Ответы на все вопросы
Москва
Московская область
Санкт-Петербург
Ленинградская область
Алтайский край
Амурская область
Архангельская область
Астраханская область
Белгородская область
Брянская область
Владимирская область
Волгоградская область
Вологодская область
Воронежская область
Еврейская автономная область
Забайкальский край
Ивановская область
Иркутская область
Калининградская область
Калужская область
Камчатский край
Кемеровская область
Кировская область
Костромская область
Краснодарский край
Красноярский край
Курганская область
Курская область
Липецкая область
Магаданская область
Мурманская область
Ненецкий автономный округ
Нижегородская область
Новгородская область
Новосибирская область
Омская область
Оренбургская область
Орловская область
Пензенская область
Пермский край
Приморский край
Псковская область
Республика Адыгея
Республика Алтай
Республика Башкортостан
Республика Бурятия
Республика Дагестан
Республика Ингушетия
Республика Кабардино-Балкария
Республика Калмыкия
Республика Карачаево-Черкессия
Республика Карелия
Республика Коми
Республика Марий Эл
Республика Мордовия
Республика Саха (Якутия)
Республика Северная Осетия (Алания)
Республика Татарстан
Республика Тыва (Тува)
Республика Удмуртия
Республика Хакасия
Республика Чечня
Республика Чувашия
Ростовская область
Рязанская область
Самарская область
Саратовская область
Сахалинская область
Свердловская область
Смоленская область
Ставропольский край
Тамбовская область
Тверская область
Томская область
Тульская область
Тюменская область
Ульяновская область
Хабаровский край
Ханты-Мансийский автономный округ
Челябинская область
Чукотский автономный округ
Ямало-Ненецкий автономный округ
Ярославская область
Какие нужны документы для получения родового сертификата? Что делать с родовым сертификатом
Будущая мама не всегда уверена, что в продолжение беременности и после родов ей будет оказана помощь на должном уровне в государственных медицинских учреждениях, к которым она относится по месту регистрации. Обращение в другие учреждения платное, что не каждая семья может себе позволить. Поэтому в рамках национального проекта «Здоровье» будущим мамам оказывается материальная помощь. Она выражается в предоставлении специального родового сертификата. В статье будет разобрано, что это, какие права предоставляет документ женщине, как его использовать, где получить, какие бумаги понадобятся.
Проект «Здоровье»
Программа «Родовой сертификат» реализуется при развитии национального проекта «Здоровье». Она помогает воплотить в жизнь следующее:
- Реализовать в полной мере право будущей мамы на выбор женской консультации и роддома.
- Сформировать среди здравоохранительных учреждений здоровую конкуренцию. Это касается организаций, которые призваны оказывать помощь женщинам в продолжение беременности и родов, а также новорожденным (детские поликлиники).
- Оказать влияние на повышение качества медицинских услуг.
Итоги проекта
Государственная статистика на сегодняшний день показывает определенные данные. В настоящее время с помощью родовых сертификатов оплачивается более 90 % услуг по:
- Ведению в женской консультации беременности.
- Оказанию помощи при родах.
- Медуходу за новорожденными.
- Профилактическому диспансерному наблюдению за младенцами в первые годы жизни.
Главная цель введения родовых сертификатов в 2006 году — стимулировать медучреждения на оказание действительно качественной помощи по гинекологии, акушерству и педиатрии, обеспечение клиник бесплатными медицинскими препаратами.
Для чего нужен документ?
Оформление родового сертификата — важная часть президентской программы по росту так называемого «человеческого капитала» в государстве. В рамках проекта медицинская организация, оказывая помощь будущей или новоиспеченной маме, получает из госбюджета определенную денежную сумму.
Такое финансовое стимулирование делает беременных женщин, мам с новорожденными желанными гостями в медучреждениях. Это ставит женские консультации, роддома и детские поликлиники в условия рыночной конкуренции. Соответственно, повышает их заинтересованность в оказании именно качественных услуг.
Что касается самих женщин, для них введение родового сертификата удобно получением права обращаться в любое по собственному выбору государственное медицинское учреждение.
Какие документы нужны для получения родового сертификата?
Важный вопрос, ответ на который должна знать будущая роженица. Вот какие документы нужны для получения родового сертификата:
- Удостоверяющий личность. В большинстве случаев это паспорт гражданина РФ.
- Полис ОМС.
- СНИЛС.
Отсутствие каких бумаг допускается?
Разбирая, какие документы нужны для получения родового сертификата, обратим ваше внимание на то, что препятствием для его вручения женщине не будет следующее:
- Отсутствие прописки в паспорте.
- Отсутствие полиса ОМС.
- Отсутствие СНИЛС.
Однако все вышеперечисленное требует проставления соответствующей отметки в сертификате, указания причины, по которой документация отсутствует.
Единственное основание для отказа в выдаче сертификата — это отсутствие у женщины документа, удостоверяющего личность. Если в консультацию обратилась девушка, не достигшая четырнадцати лет, то ей достаточно вместо паспорта предъявить свое свидетельство о рождении.
Как выглядит документ?
Постановка на учет по беременности в нашей стране связана с выдачей женщине родового сертификата. Разберемся, что представляет собой документ.
Его стандартная форма утверждена приказом Министерства здравсоцразвития № 701 (2005 года). Этот акт также устанавливает правила заполнения документа, процедуру учета, хранение сертификата в медицинских учреждениях.
Заполнять документ правомочны работники только тех муниципальных и государственных учреждений, которые имеют соответствующую лицензию на ведение работ и оказание услуг по вектору «Акушерство и гинекология». После рождения малыша сертификат заполняет уже педиатр поликлиники, в которой ребенок будет наблюдаться в первый год жизни. Это медучреждение обязательно должно иметь лицензию по направлению «Педиатрия».
Сам документ — это стандартный бланк, бумага, заполненная широкими полосами двух цветов — розового и зеленого. Является защищенной полиграфической продукцией.
Талоны и корешки
После постановки на учет по беременности женщина получает родовой сертификат. По своему содержанию он представляет документ, составленный из отрывных талонов и корешков. Разберемся в их значении:
Корешок. Это часть документа подтверждает выдачу сертификата будущей маме. Корешок остается в медучреждении, предоставившем женщине родовой сертификат. В большинстве случаев это женская консультация при районной поликлинике. В корешке указывается Ф. И. О. женщины, адрес ее регистрации, места жительства, номера полиса ОМС и СНИЛС, дата выдачи документа и расписка самой получательницы.
Талон № 1. Он предназначен для оплаты медицинских услуг на этапе амбулаторного наблюдения в поликлинике. Медучреждение, где был оставлен этот талон, имеет право на получение определенной доли средств из ФСС, которые можно направить на оплату работы специалистов, оснащение организации медикаментами, специализированным оборудованием.
Талон № 2. Оставляется женщиной в родильном доме, медицинском учреждении, где она проходила послеродовое восстановление. Талон предъявляется в роддоме для обеспечения женщины необходимыми медикаментами и бесплатным питанием. Но он действителен только в государственных, муниципальных, но не частных клиниках.
Собственно родовой сертификат. Подтверждает право женщины на оказание медицинской помощи по беременности и родам учреждениями здравоохранения. Притом как в продолжение дородового периода, так и после появления на свет малыша. Выдается женщине без талонов в роддоме, совершенно бесплатно.
Талон № 3-1. Необходим для оплаты диспансерного наблюдения родившегося ребенка в течение первого полугодия его жизни. Талон действителен при условии, что малыш поставлен на учет в поликлинику в первые три месяца жизни.
Талон № 3-2. Оплата медицинского профилактического наблюдения за ребенком во второе полугодие его жизни.
Все вышеобозначенные талоны передаются лечебно-профилактическими учреждениями в региональное отделение ФСС для произведения на счет этих клиник полагающихся выплат.
Где получить документ?
Кем и когда выдается родовой сертификат? Документ можно получить в государственной или муниципальной женской консультации.
Когда выдают родовой сертификат беременной? При оформлении женщиной декретного отпуска. По российскому законодательству, начиная с тридцатой недели при обычной беременности и с 28-ой при многоплодной.
Что с ним делать?
Многих будущих мам волнует, что делать с родовым сертификатом. Для каждой части этого документа вводится свое применение:
- Корешок женщина оставляет в женской консультации, где ей был выдан сертификат. Он хранится в этом медучреждении, так как необходим для учета.
- Талон № 1 женщина оставляет в медучреждении, где проходит предродовое наблюдение. Он заполняется медицинским учреждением и передается в отделение ФСС для зачисления на счет клиники оплаты из госбюджета.
- Талон № 2 и оставшиеся части сертификата женщина предъявляет уже в родильном доме вместе с обменной картой.
- При выписке из роддома женщина оставляет талоны № 3-1 и № 3-2 в детской поликлинике, которой планирует доверить годовое диспансерное наблюдение своего ребенка.
- Все это время на руках у женщины остается сам родовой сертификат — как подтверждение, что она правомочна получать медицинские услуги в связи с беременностью и родами.
Оплата родовых сертификатов ведется региональным отделением российского ФСС. Деньги перечисляются только на счет муниципальных и государственных медучреждений, имеющих необходимые лицензии.
В каких случаях выдают документ?
Когда выдается родовой сертификат в женской консультации? Женщине необходимо соблюсти два главных условия:
- Наблюдаться у врача/врачей. Документ будет в таком случае выдаваться в том медицинском учреждении, где женщина была на учете дольше всего. В совокупности период наблюдения должен быть не менее 12 акушерских недель.
- Регулярно посещать назначенные осмотры. В случае игнорирования этого условия в течение более чем трех месяцев женщина может потерять свое право на получение сертификата.
Кто имеет право на него? Абсолютно все гражданки РФ. В их число входят и женщины, не имеющие прописки. Кроме того, родовой сертификат в России предоставляется и иностранкам, легально пребывающим на территории страны, имеющим разрешение на временное проживание или вид на жительство.
Исключительные случаи
Разберем также и исключительные случаи, при которых выдача родового сертификата будущем мамам остается возможной:
Наблюдение за беременностью проводилось в платных медицинских учреждениях или отсутствовало вовсе. Для оплаты услуг роддома и детской поликлиники женщина также должна обратиться в женскую консультацию по месту регистрации или пребывания (организация обязана иметь договор с ФСС). Получить сертификат в этом случае будущая мама может, начиная с 30-й недели обычной беременности и начиная с 28-й — при многоплодной.
Обращение в родильный дом без родового сертификата. Это может случиться при наступлении преждевременных родов, утери документа, факте неполучения его. В этом случае родильный дом может затребовать от женской консультации, к которой относится женщина, ее родовой сертификат на основании обменной карты мамы. Если же это невозможно, то работник роддома выписывает женщине сертификат самостоятельно. Но в этом случае талон № 1 погашается спецштампом «Не подлежит оплате» и остается в медицинском учреждении.
Женщина также имеет право на получение этого сертификата после родов до достижения ребенком трех месяцев. Для этого ей стоит направиться в детскую поликлинику. Это медучреждение может обратиться за выдачей документа к женской консультации или родильному дому, куда обращалась мама. Если это невозможно, то сотрудник поликлиники выписывает родовой сертификат женщине самостоятельно. Но в таком документе талоны № 1 и № 2 будут недействительны — погашены печатью «Не подлежит оплате».
При усыновлении малыша младше трех месяцев и постановке его на учет для профилактического диспансерного наблюдения в детской поликлинике опекуны также имеют право на получение такого сертификата. В таком случае будут действительны только талоны № 3-1 и № 3-2. Документ выдается детской поликлиникой.
Мы разобрали, какие документы нужны для получения родового сертификата и иные вопросы, связанные с документом. Предоставляемый в рамках проекта «Здоровье», он призван помочь всех будущим мамам на территории РФ.
Без родового сертификата: как родить в роддоме без него.
В рамках проекта «Здоровье», принятом в 2006 году, каждая женщина, являющаяся гражданкой России, имеет право на получение родового сертификата. Его цель заключается в повышении качества медицинского обслуживания. Но можно ли родить без родового сертификата? На какие медицинские услуги можно при этом рассчитывать?
Что такое родовой сертификат.
Все особенности родового сертификата и его предназначения подробно описано в Приказе Минсоцразвития № 701 от 28.11.05.
Введение документа позволяет решить следующие задачи:
- самостоятельно выбирать беременными место для родов;
- повышать здоровую конкуренцию между медицинскими организациями;
- улучшить качество обслуживания в роддомах и перинатальных центрах.
Родовой сертификат состоит из нескольких разделов:
- корешок, подтверждающий факт оказания услуги;
- талон № 1 предполагает оплату женской консультации, где женщина состояла на учете;
- талон № 2 позволяет перечислить средства в роддом после удачных родов;
- талоны № 3-1 и 3-2 оплачивают профилактические осмотры и медицинское наблюдение за новорожденным.
Выплаты производятся из Фонда социального страхования. Их размер установлен на законодательном уровне.
Как получить родовой сертификат.
На получение родового сертификата не влияет возраст, стаж работы, официальное трудоустройство и другие нюансы. Право на получение документа существует у каждой гражданки РФ.
Условия, которые необходимо соблюдать для оформления:
- наблюдение у акушера-гинеколога не менее 12 недель;
- регулярное посещение женской консультации, которое не должно прерываться более, чем на 3 месяца;
- своевременное предоставление всех необходимых документов.
Женщины могут получить родовой сертификат без прописки, в выбранном лечебном учреждении. Оно не обязательно должно быть по месту регистрации беременной. Для получения сертификата понадобится предъявить паспорт, ОМС и СНИЛС.
Два последних документа могут отсутствовать по уважительной причине, что необходимо указать при оформлении.
Часто сертификат выдается в консультации, где женщина наблюдается. Он оформляется в то же время, когда и отпуск по беременности и родам (28 или 30 недель). Но встречается, что поликлиника по какой-либо причине не выдала документ.
Можно ли родить без родового сертификата.
В некоторых ситуациях женщина может не успеть получить документ, испортить или утерять его. В таком случае возникает вопрос, примут ли без родового сертификата в медицинской организации.
Роды являются экстренной ситуацией, поэтому отказать в помощи сотрудники учреждения не имеют права.
В такой ситуации документ может быть оформлен непосредственно в роддоме. Это связано с тем, что получить сертификат можно на любом сроке беременности.
Документ оформляется на всей территории России.
Проблемы с его получением могут возникнуть у женщин, не имеющих гражданства. Сертификат выдается беременным, имеющим легальное основание для нахождения в стране.
Поэтому иностранные граждане могут обратиться в поликлинику и предъявить такие документы, как:
- удостоверение личности;
- медицинский полис;
- разрешение на работу;
- вид на жительство и др.
При оформлении документа непосредственно в роддоме, женщина должна предоставить:
- паспорт;
- полис ОМС;
- обменную карту.
Последний документ выдается в поликлинике, где наблюдалась беременная.
Если отсутствует обменная карта, то сертификат можно будет получить в роддоме. Но талон № 1, который предполагает перечисление средств за амбулаторное лечение, оплачен не будет.
Преждевременные роды не являются большой редкостью. Они относятся к экстремальным ситуациям, и женщина обычно доставляется в перинатальный центр или подобные организации.
При этом часто у нее отсутствуют с собой сопроводительные документы, в том числе родовой сертификат. В медицинской организации отказать в помощи не могут даже без наличия бумаг.
Особенности получения родового сертификата.
Следует обратить внимание на особенности получения сертификата.
- Рекомендуется заняться оформлением документа в 28-30 акушерских недель.
- Средства сертификата невозможно обналичить. Они поступают непосредственно на счет медицинской организации от ФСС.
- Встречаются ситуации, когда документ не подлежит оплате, о чем ставится соответствующая подпись.
- Медицинская организация для получения средств должна иметь разрешение на ведение деятельности, заключенное соглашение с ФСС.
Родовой сертификат не оплачивается в случаях:
- Документ оформлен с нарушениями законодательных актов.
- Сертификат выдало заведение, не имеющее лицензии на ведение медицинской деятельности.
- При летальном исходе во время родов или после матери или ребенка.
Родовой сертификат принимают следующие учреждения:
- женские консультации и поликлиники;
- роддома, перинатальные центры;
- детские поликлиники.
Они могут находиться как в ведомстве Министерства здравоохранения, так и под контролем Минобороны, ФСБ и других государственных служб. Важно, чтобы было соблюдено два условия: наличие лицензии и соглашения с ФСС.
Родовой сертификат не являются пропуском в роддом, поэтому даже при его отсутствии учреждение должно оказать медицинскую помощь женщинам, у которых начались схватки.
Заключение.
Законодательно не утвержден срок, когда документ следует оформить. Обычно это 30 недель для нормальной беременности и 28 недель для женщин, ожидающих два и более младенца. В случае, когда документ вовремя не получен, он может быть оформлен непосредственно в роддоме.
Основная цель родового сертификата заключается в улучшении качества медицинского обслуживания. Среди достоинств проекта отмечают возможность выбора учреждения для родов беременной, так как она территориально никак не ограничивается.
Денежные средства, которые полагаются по документу, предназначены для улучшения материальной базы организации. При отсутствии лицензии на оказание медицинских услуг учреждение не сможет получить перечисления из Фонда социального страхования.
Как получить родовой сертификат.
Наталья Шереметева
Эксперты сайта
Задать вопрос
Наталья Сергеевна Шереметева — главный редактор портала Права семей.Окончила бакалавриат Государственного Университета Управления г.Москва в 2000 году — специализация «Менеджмент».
Магистратура ГУУ в 2002г. — специализация «Юриспруденция».
общий сертификат — определение — английский
Примеры предложений с «универсальным сертификатом», память переводов
UN-2 Общий сертификат об образовании (продвинутый уровень), Baccalaureat ès-liettres, средняя школа в Париже, 1969-1970 KFTT Общая сертификация в области исполнения ArtsUN-2Общий сертификат по правам человека, Международный центр по правам человека, Страсбургский университет, 1977 г. Множественное среднее образование доступно для общего сертификата об образовании уровня «A» .patents-wipoОбщая обработка сертификатов для развертывания систем защиты от копирования на основе модулей Giga-fren прежних Правил, Общий сертификат №Отчет директора поступает к нам в июле, а сертификат генерального инспектора — осенью. Giga-fren Кроме того, в нем установлены общие критерии для систем сертификации и диагностики ограниченного поколения. Giga-fren • Общие — Сертификация для STR (версия 04) Giga-fren • Общий сертификат оператора радиотелефонной связи (авиационный) UN-2. Минимальный требуемый уровень — это общий сертификат о среднем образовании. KFTTGeneral Certificationpatents-wipoАвтоматическая генерация сертификационных документов .Патенты-wipoИнвесторы или представители банков-инвесторов могут вводить данные инвестора в систему для использования при создании сертификатов. UN-2 Студенты, участвующие в этой программе, могут сдавать экзамен на получение общего аттестата о среднем образовании. Giga-fren Как правило, сертификация проводится в учреждении, которое пользуется услугами переводчиков. УН-2При использовании свидетельства Генерального прокурора действует ряд гарантий. Авторское свидетельство WikiMatrixGeneral № 217509 «Электродвигатель», Лавриненко В., Некрасов М., заявление № 1006424 от 10 мая 1965 года. Множественный общий аттестат об образовании (Baccalauréat Philosophie-Lettres), средняя школа, ПарижUN-2 Среднее образование доступно для общего аттестата об образовании уровня «A». Giga-fren Комитет также получает копию свидетельства генерального инспектора. Множество мер предосторожности применяется к использованию свидетельства генерального прокурора. К ним относятся следующиеПоказаны страницы 1. Найдено 1308 предложений, соответствующих фразе «generic certificate».Найдено за 68 мс. Найдено за 0 мс.Накопители переводов создаются человеком, но выравниваются с помощью компьютера, что может вызвать ошибки. Они поступают из многих источников и не проверяются. Имейте в виду.
.Шаг 1 | включить Пример: Маршрутизатор> включить | Включает привилегированный режим EXEC. | ||||
Шаг 2 | настроить Терминал Пример: Маршрутизатор # настроить терминал | Переходит в режим глобальной конфигурации. | ||||
Шаг 3 | crypto pki сертификат карта метка порядковый номер Пример: Маршрутизатор (config) # crypto pki certificate map Group 10 | Определяет значения в сертификате, которые должны совпадать или не совпадать, и входит в режим конфигурации ca-certificate-map. | ||||
Шаг 4 | название поля
критерии соответствия
значение соответствия Пример: Маршрутизатор (ca-certificate-map) # имя-субъекта co MyExample | Задает одно или несколько полей сертификата вместе с их критериями сопоставления и значением для сопоставления. field-name — это одна из следующих строк имени или даты без учета регистра:
В критерий соответствия — это один из следующих логических операторов:
значение-совпадения — это имя или дата для проверки с помощью логического оператора, назначенного критерием совпадения.
| ||||
Шаг 5 | Выход Пример: Маршрутизатор (ca-certificate-map) # exit | Возврат в режим глобальной конфигурации. | ||||
Шаг 6 | крипто
pki
точка доверия имя Пример: Маршрутизатор (конфигурация) # crypto pki trustpoint Access2 | Объявляет точку доверия, заданное имя и входит в режим настройки точки доверия. | ||||
Шаг 7 | Выполните одно из следующих действий:
Пример: Маршрутизатор (ca-trustpoint) # crl-cache none Пример: Маршрутизатор (ca-trustpoint) # crl-cache delete-after 20 | (Необязательно) Полностью отключает кэширование CRL для всех CRL, связанных с точкой доверия. crl-cache Команда none не влияет ни на какие кэшированные в настоящее время CRL. Все CRL, загруженные после настройки этой команды, не будут кэшироваться. (Необязательно) Задает максимальное время, в течение которого списки отзыва сертификатов будут оставаться в кэше для всех списков отзыва сертификатов, связанных с точкой доверия. crl-cache Команда delete-after не влияет ни на какие кэшированные в настоящее время CRL. Настроенное время жизни будет влиять только на CRL, загруженные после настройки этой команды. | ||||
Шаг 8 | соответствие
свидетельство сертификат-карта-этикетка
[позволять
просроченный сертификат |
пропускать
отзыв-проверка |
пропускать
авторизация-проверка Пример: Маршрутизатор (ca-trustpoint) # match certificate Group skip revocation-check | (Необязательно) Связывает ACL на основе сертификата (который был определен через крипто pki свидетельство map) в точку доверия.
| ||||
Шаг 9 | соответствие
свидетельство сертификат-карта-этикетка отменять
cdp
{url |
каталог}
строка Пример: Маршрутизатор (ca-trustpoint) # соответствует сертификату Group1 override cdp url http://server.cisco.com | (Необязательно) Вручную заменяет существующие записи CDP для сертификата с помощью URL-адреса или спецификации каталога.
| ||||
Шаг 10 | соответствие
свидетельство сертификат-карта-этикетка отменять
ocsp
[точка доверия
метка точки доверия]
Последовательность чисел
url
ocsp-url Пример: Router (ca-trustpoint) # match certificate mycertmapname override ocsp trustpoint mytp 15 url http: // 192.0,2,2 | (Необязательно) Указывает сервер OCSP либо для сертификата клиента, либо для группы сертификатов клиентов, и может быть выпущен более одного раза для указания дополнительных серверов OCSP и параметров сертификата клиента, включая альтернативные иерархии PKI.
Если сертификат совпадает с настроенной картой сертификатов, поле AIA сертификата клиента и все ранее выданные ocsp Параметры команды url перезаписываются указанным сервером OCSP. Если совпадение на основе карты не происходит, к сертификату клиента по-прежнему применяется один из следующих двух случаев.
| ||||
Шаг 11 | Выход Пример: Маршрутизатор (ca-trustpoint) # exit | Возврат в режим глобальной конфигурации. | ||||
Шаг 12 | ааа
новая модель Пример: Маршрутизатор (config) # aaa новая модель | (дополнительно) Включает модель управления доступом AAA. | ||||
Шаг 13 |
| Документы Microsoft
- 25 минут на чтение
В этой статье
Применимо к: Windows Server 2012 R2, Windows Server 2012
Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, компьютеров и организаций. Центр сертификации аутентифицирует объект и подтверждает его подлинность, выдав сертификат с цифровой подписью.ЦС также может управлять сертификатами, отзывать и обновлять сертификаты.
Центр сертификации может ссылаться на следующее:
Установив службу роли центра сертификации службы сертификации Active Directory (AD CS), вы можете настроить свой сервер Windows для работы в качестве центра сертификации.
Перед установкой службы роли ЦС необходимо:
Спланируйте инфраструктуру открытых ключей (PKI), подходящую для вашей организации.
Установите и настройте аппаратный модуль безопасности (HSM) в соответствии с инструкциями поставщика HSM, если вы планируете его использовать.
Создайте соответствующий CAPolicy.inf, если вы хотите изменить параметры установки по умолчанию.
План для PKI
Чтобы ваша организация могла в полной мере воспользоваться преимуществами установки служб сертификации Active Directory (AD CS), необходимо соответствующим образом спланировать развертывание PKI. Вы должны определить, сколько центров сертификации вы установите и в какой конфигурации, прежде чем устанавливать какой-либо центр сертификации. Создание соответствующей инфраструктуры PKI может занять много времени, но это важно для успеха вашей PKI.
Для получения дополнительных сведений и ресурсов см. Руководство по разработке PKI в Microsoft TechNet.
Используйте HSM
Использование аппаратного модуля безопасности (HSM) может повысить безопасность CA и PKI.
HSM — это выделенное аппаратное устройство, управляемое отдельно от операционной системы. Эти модули обеспечивают безопасное аппаратное хранилище ключей CA в дополнение к выделенному криптографическому процессору для ускорения операций подписания и шифрования. Операционная система использует HSM через интерфейсы CryptoAPI, а HSM функционирует как устройство поставщика криптографических услуг (CSP).
HSMобычно представляют собой адаптеры PCI, но они также доступны в виде сетевых устройств, последовательных устройств и USB-устройств. Если организация планирует внедрить два или более центров сертификации, вы можете установить один сетевой HSM и использовать его для нескольких центров сертификации.
Чтобы настроить CA с помощью HSM, HSM должен быть установлен и настроен до того, как вы настроите какие-либо CA с ключами, которые будут храниться в HSM.
Рассмотрим файл CAPolicy.inf
Файл CAPolicy.inf не требуется для установки AD CS, но его можно использовать для настройки параметров CA.Файл CAPolicy.inf содержит различные настройки, которые используются при установке CA или при обновлении сертификата CA. Для использования файл CAPolicy.inf должен быть создан и сохранен в каталоге% systemroot% (обычно C: \ Windows).
Параметры, которые вы включаете в файл CAPolicy.inf, во многом зависят от типа развертывания, которое вы хотите создать. Например, корневой центр сертификации может иметь файл CAPolicy.inf, который выглядит следующим образом:
[Версия]
Подпись = "$ Windows NT $"
[Certsrv_Server]
RenewalKeyLength = 4096
RenewalValidityPeriod = Годы
RenewalValidityPeriodUnits = 20
LoadDefaultTemplates = 0
Тогда как CAPolicy.inf для предприятия, выпускающего ЦС, может выглядеть так:
[Версия]
Подпись = "$ Windows NT $"
[PolicyStatementExtension]
Политики = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "http://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "http://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.текст"
LoadDefaultTemplates = 0
Выберите параметры конфигурации CA
В следующих разделах описаны параметры конфигурации, которые вы выберете после установки двоичных установочных файлов CA.
Выберите тип установки
ЦС предприятия интегрированы с доменными службами Active Directory (AD DS). Они публикуют сертификаты и списки отзыва сертификатов (CRL) в AD DS. Центры сертификации предприятия используют информацию, которая хранится в AD DS, включая учетные записи пользователей и группы безопасности, для утверждения или отклонения запросов на сертификаты. Центры сертификации предприятий используют шаблоны сертификатов. При выдаче сертификата ЦС предприятия использует информацию из шаблона сертификата для создания сертификата с соответствующими атрибутами для этого типа сертификата.
Если вы хотите включить автоматическое утверждение сертификатов и автоматическую регистрацию сертификатов пользователей, используйте центры сертификации предприятия для выдачи сертификатов. Эти функции доступны только в том случае, если инфраструктура CA интегрирована с Active Directory. Кроме того, только центры сертификации предприятия могут выдавать сертификаты, позволяющие вход с помощью смарт-карт, поскольку для этого процесса требуется, чтобы сертификаты смарт-карт автоматически сопоставлялись с учетными записями пользователей в Active Directory.
Автономные центры сертификации не требуют AD DS и не используют шаблоны сертификатов.Если вы используете автономные центры сертификации, вся информация о запрошенном типе сертификата должна быть включена в запрос сертификата. По умолчанию все запросы сертификатов, отправляемые в автономные центры сертификации, хранятся в очереди ожидания, пока администратор центра сертификации не одобрит их. Вы можете настроить автономные центры сертификации для автоматической выдачи сертификатов по запросу, но это менее безопасно и обычно не рекомендуется, поскольку запросы не проходят проверку подлинности.
С точки зрения производительности использование автономных центров сертификации с автоматической выдачей позволяет выпускать сертификаты быстрее, чем при использовании корпоративных центров сертификации.Однако, если вы не используете автоматическую выдачу, использование автономных центров сертификации для выдачи больших объемов сертификатов обычно сопряжено с высокими административными расходами, поскольку администратор должен вручную просматривать, а затем утверждать или отклонять каждый запрос сертификата. По этой причине автономные центры сертификации лучше всего использовать с приложениями безопасности с открытым ключом в экстрасетях и в Интернете, когда у пользователей нет учетных записей пользователей и когда объем сертификатов, которые необходимо выдать и управлять, относительно невелик
Вы должны использовать автономные центры сертификации для выдачи сертификатов, когда вы используете службу каталогов, отличную от Microsoft, или когда AD DS недоступны.В вашей организации можно использовать как корпоративные, так и автономные центры сертификации, как показано в следующей таблице.
Опция | Предприятие CA | Автономный CA |
---|---|---|
Публикуйте сертификаты в Active Directory и используйте Active Directory для проверки запросов сертификатов. | Есть | № |
Отключите центр сертификации. | Не рекомендуется | Есть |
Настройте центр сертификации для автоматической выдачи сертификатов. | Есть | Не рекомендуется |
Разрешить администраторам утверждать запросы сертификатов вручную. | Есть | Есть |
Разрешить использование шаблонов сертификатов. | Есть | № |
Проверка подлинности запросов к Active Directory. | Есть | № |
Выберите тип CA
Enterprise и автономные центры сертификации могут быть настроены как корневые центры сертификации или как подчиненные центры сертификации.Подчиненные ЦС могут быть дополнительно настроены как промежуточные ЦС (также называемые ЦС политики) или выдающие ЦС
Обозначьте корневой CA
Корневой ЦС — это ЦС, который находится на вершине иерархии сертификации. Клиенты в вашей организации должны ему безоговорочно доверять. Все цепочки сертификатов оканчиваются корневым ЦС. Независимо от того, используете ли вы корпоративный или автономный ЦС, вам необходимо назначить корневой ЦС.
Поскольку корневой ЦС является верхним ЦС в иерархии сертификации, поле Субъекта сертификата, выданного корневым ЦС, имеет то же значение, что и поле Эмитент сертификата.Точно так же, поскольку цепочка сертификатов завершается, когда достигает самозаверяющего ЦС, все самозаверяющие ЦС являются корневыми ЦС. Решение о назначении ЦС в качестве доверенного корневого ЦС может быть принято на уровне предприятия или локально отдельным ИТ-администратором.
Корневой центр сертификации служит фундаментом, на котором вы строите модель доверия в центре сертификации. Это гарантирует, что открытый ключ субъекта соответствует идентификационной информации, указанной в поле субъекта выдаваемых им сертификатов.Различные центры сертификации также могут проверить эту взаимосвязь, используя разные стандарты; следовательно, важно понимать политику и процедуры корневого центра сертификации, прежде чем доверять этому органу проверку открытых ключей.
Корневой ЦС — самый важный ЦС в вашей иерархии. Если ваш корневой ЦС скомпрометирован, все ЦС в иерархии и все выданные им сертификаты считаются скомпрометированными. Вы можете максимизировать безопасность корневого ЦС, отключая его от сети и используя подчиненные ЦС для выдачи сертификатов другим подчиненным ЦС или конечным пользователям.
Подчиненные центры сертификации
ЦС, не являющиеся корневыми ЦС, считаются подчиненными. Первый подчиненный ЦС в иерархии получает свой сертификат ЦС от корневого ЦС. Этот первый подчиненный ЦС может использовать этот ключ для выдачи сертификатов, которые проверяют целостность другого подчиненного ЦС. Эти подчиненные ЦС более высокого уровня называются промежуточными ЦС. Промежуточный ЦС подчиняется корневому ЦС, но служит вышестоящим органом сертификации для одного или нескольких подчиненных ЦС.
Промежуточный ЦС часто называют ЦС политики, поскольку он обычно используется для разделения классов сертификатов, которые можно различить с помощью политик.Например, разделение политик включает в себя уровень уверенности, который предоставляет CA, или географическое расположение CA, чтобы различать различные группы конечных объектов. ЦС политики может быть в сети или офлайн.
Предупреждение
Невозможно преобразовать корневой ЦС в подчиненный ЦС и наоборот.
Хранить закрытый ключ
Закрытый ключ является частью удостоверения CA и должен быть защищен от взлома. Многие организации защищают закрытые ключи ЦС с помощью аппаратного модуля безопасности (HSM).Если HSM не используется, закрытый ключ хранится на компьютере CA. Дополнительные сведения см. В разделе Аппаратный модуль безопасности (HSM) в Microsoft TechNet.
Offline CA должны храниться в безопасных местах и не подключаться к сети. Центры сертификации используют свои закрытые ключи при выдаче сертификатов, поэтому закрытый ключ должен быть доступен (онлайн) во время работы центра сертификации. Во всех случаях CA и его закрытый ключ на CA должны быть физически защищены.
Найдите существующий ключ
Если у вас уже есть существующий закрытый ключ, который вы хотите использовать во время установки, вы можете использовать экран Существующий ключ , чтобы найти этот ключ.Вы можете использовать кнопку Изменить для изменения поставщика криптографических услуг и, при необходимости, центра сертификации, в котором вы хотите найти существующий ключ.
Найдите существующий сертификат
Если у вас уже есть сертификат, содержащий закрытый ключ для CA, вы можете использовать экран Существующий сертификат , чтобы найти его. Вы можете использовать кнопку Импорт , чтобы открыть диалоговое окно Импорт существующего сертификата , а затем найти существующий файл PKCS # 12.
Выбрать криптографические параметры
Выбор параметров шифрования для центра сертификации (ЦС) может иметь серьезные последствия для безопасности, производительности и совместимости этого ЦС. Хотя параметры шифрования по умолчанию могут подходить для большинства центров сертификации, возможность реализации настраиваемых параметров может быть полезна администраторам и разработчикам приложений с более глубоким пониманием криптографии и необходимостью в такой гибкости. Параметры криптографии могут быть реализованы с помощью поставщиков криптографических услуг (CSP) или поставщиков хранилищ ключей (KSP).
Важно
При использовании сертификата RSA для CA убедитесь, что длина ключа составляет не менее 2048 бит. Вы не должны пытаться использовать сертификат RSA ниже 1024 бит для CA. Служба CA (certsvc) не запустится, если установлен ключ RSA длиной менее 1024 бит.
— это аппаратные и программные компоненты в операционных системах Windows, которые обеспечивают общие криптографические функции. CSP могут быть написаны для обеспечения множества алгоритмов шифрования и подписи.
KSPмогут обеспечить надежную защиту ключей для компьютеров с минимальной серверной версией Windows Server 2008 R2 и минимальной клиентской версией Windows Vista.
Важно
При выборе поставщика, алгоритма хеширования и длины ключа внимательно обдумайте, какие криптографические параметры могут поддерживать приложения и устройства, которые вы собираетесь использовать. Хотя рекомендуется выбирать самые надежные параметры безопасности, не все приложения и устройства могут их поддерживать.Если ваши требования к поддержке изменятся и вы сможете использовать более надежные параметры безопасности, такие как переход на KSP и более надежный алгоритм хеширования, см. Перенос ключа центра сертификации от поставщика криптографических служб (CSP) к поставщику хранилища ключей (KSP). ).
Разрешить взаимодействие с администратором при доступе к закрытому ключу CA — это опция, которая обычно используется с аппаратными модулями безопасности (HSM). Это позволяет поставщику криптографических услуг запрашивать у пользователя дополнительную аутентификацию при доступе к закрытому ключу CA.Этот параметр можно использовать для предотвращения несанкционированного использования ЦС и его закрытого ключа, требуя от администратора ввода пароля перед каждой криптографической операцией.
Встроенные поставщики криптографии поддерживают определенные длины ключей и алгоритмы хеширования, как описано в следующей таблице.
Провайдер криптографии | Длина ключей | Хеш-алгоритм |
---|---|---|
Поставщик криптографии Microsoft Base v1.0 | — 512 — 1024 — 2048 — 4096 | — SHA1 — MD2 — MD4 — MD5 |
Поставщик криптографии Microsoft Base DSS | — 512 — 1024 | SHA1 |
Поставщик криптографии смарт-карт Microsoft Base | — 1024 — 2048 — 4096 | — SHA1 — MD2 — MD4 — MD5 |
Microsoft Enhanced Cryptographic Provider v1.0 | — 512 — 1024 — 2048 — 4096 | — SHA1 — MD2 — MD4 — MD5 |
Сильный поставщик криптографических услуг Microsoft | — 512 — 1024 — 2048 — 4096 | — SHA1 — MD2 — MD4 — MD5 |
RSA # поставщик хранилища ключей программного обеспечения Microsoft | — 512 — 1024 — 2048 — 4096 | — SHA1 — SHA256 — SHA384 — SHA512 — MD2 — MD4 — MD5 |
DSA # поставщик хранилища ключей программного обеспечения Microsoft | — 512 — 1024 — 2048 | SHA1 |
ECDSA_P256 # Поставщик хранилища ключей программного обеспечения Microsoft | 256 | — SHA1 — SHA256 — SHA384 — SHA512 |
ECDSA_P384 # Поставщик хранилища ключей программного обеспечения Microsoft | 384 | — SHA1 — SHA256 — SHA384 — SHA512 |
ECDSA_P521 # Поставщик хранилища ключей программного обеспечения Microsoft | 521 | — SHA1 — SHA256 — SHA384 — SHA512 |
RSA # поставщик хранилища ключей смарт-карты Microsoft | — 1024 — 2048 — 4096 | — SHA1 — SHA256 — SHA384 — SHA512 — MD2 — MD4 — MD5 |
ECDSA_P256 # Поставщик хранилища ключей смарт-карты Microsoft | 256 | — SHA1 — SHA256 — SHA384 — SHA512 |
ECDSA_P384 # Поставщик хранилища ключей смарт-карты Microsoft | 384 | — SHA1 — SHA256 — SHA384 — SHA512 |
ECDSA_P521 # Поставщик хранилища ключей смарт-карты Microsoft | 521 | — SHA1 — SHA256 — SHA384 — SHA512 |
Создание имени CA
Перед настройкой центров сертификации (ЦС) в организации необходимо установить соглашение об именах ЦС.
Вы можете создать имя, используя любой символ Unicode, но вы можете использовать набор символов ANSI, если совместимость является проблемой. Например, некоторые типы маршрутизаторов не смогут использовать службу регистрации сетевых устройств для подачи заявок на сертификаты, если имя CA содержит специальные символы, такие как подчеркивание.
Важно
Если вы используете нелатинские символы (например, кириллические, арабские или китайские символы), имя вашего центра сертификации должно содержать менее 64 символов.Если вы используете только нелатинские символы, ваше имя CA не может содержать более 37 символов.
В доменных службах Active Directory (AD DS) имя, которое вы указываете при настройке сервера как ЦС, становится общим именем ЦС, и это имя отражается в каждом сертификате, который выдает ЦС. По этой причине важно, чтобы вы не использовали полное доменное имя для общего имени ЦС. Таким образом, злоумышленники, получившие копию сертификата, не могут идентифицировать и использовать полное доменное имя центра сертификации для создания потенциальной уязвимости безопасности.
Предупреждение
Имя CA не должно совпадать с именем компьютера (NetBIOS или DNS-именем). Кроме того, вы не можете изменить имя сервера после установки служб сертификации Active Directory (AD CS) без аннулирования всех сертификатов, выданных ЦС. Дополнительные сведения об именах ЦС см. В статье TechNet Wiki: Рекомендации по именам центров сертификации (ЦС).
Чтобы изменить имя сервера после установки AD CS, необходимо удалить ЦС, изменить имя сервера, переустановить ЦС с теми же ключами и изменить реестр, чтобы использовать существующие ключи ЦС и базу данных.Вам не нужно переустанавливать ЦС, если вы переименовываете домен; однако вам придется перенастроить CA для поддержки изменения имени.
Получить запрос на сертификат
После установки корневого центра сертификации (ЦС) многие организации устанавливают один или несколько подчиненных ЦС для реализации ограничений политики в инфраструктуре открытых ключей (PKI) и выдачи сертификатов конечным клиентам. Использование хотя бы одного подчиненного ЦС может помочь защитить корневой ЦС от ненужного воздействия.При установке подчиненного ЦС необходимо получить сертификат от родительского ЦС.
Если родительский ЦС подключен к сети, вы можете использовать опцию Отправить запрос сертификата в родительский ЦС и выбрать родительский ЦС по имени ЦС или имени компьютера.
Если родительский центр сертификации находится в автономном режиме, следует использовать опцию Сохранить запрос сертификата в файл на целевом компьютере . Процедура для этого будет уникальной для родительского центра сертификации. Как минимум, родительский ЦС должен предоставить файл, содержащий недавно выпущенный сертификат подчиненного ЦС, желательно его полный путь сертификации.
Если вы получаете сертификат подчиненного ЦС, который не включает полный путь сертификации, новый подчиненный ЦС, который вы устанавливаете, должен иметь возможность построить действительную цепочку ЦС при запуске. Чтобы создать действительный путь сертификации, выполните следующие действия:
Установите сертификат родительского ЦС в хранилище сертификатов Промежуточные центры сертификации компьютера, если родительский ЦС не является корневым ЦС.
Установите сертификаты любого другого промежуточного ЦС в цепочке.
Установите сертификат корневого центра сертификации в хранилище доверенных корневых центров сертификации.
Примечание
Эти сертификаты должны быть установлены в хранилище сертификатов перед установкой сертификата ЦС в подчиненном ЦС, который вы только что настроили.
Проверить срок действия
Криптография на основе сертификатов использует криптографию с открытым ключом для защиты и подписи данных. Со временем злоумышленники могут получить данные, защищенные открытым ключом, и попытаться получить из них закрытый ключ.При наличии достаточного количества времени и ресурсов этот закрытый ключ может быть взломан, что фактически сделает все защищенные данные незащищенными. Также со временем может потребоваться изменить имена, которые гарантированы сертификатом. Поскольку сертификат является связующим звеном между именем и открытым ключом, при изменении любого из этих параметров сертификат следует обновить.
Каждый сертификат имеет срок действия. После окончания срока действия сертификат больше не считается приемлемым или пригодным для использования учетными данными.
Центры сертификациине могут выдавать сертификаты, срок действия которых превышает их собственный период действия. Рекомендуется обновить сертификат ЦС по истечении половины срока его действия. При установке центра сертификации следует запланировать эту дату и убедиться, что она записана в качестве будущей задачи.
Выберите базу данных CA
Как и во многих других базах данных, база данных центра сертификации представляет собой файл на жестком диске. Помимо этого файла, другие файлы служат в качестве журналов транзакций, и они получают все изменения в базе данных перед внесением изменений.Поскольку к этим файлам можно обращаться часто и одновременно, лучше всего хранить базу данных и журналы транзакций на отдельных жестких дисках или в высокопроизводительных дисковых конфигурациях, таких как чередующиеся тома.
Расположение базы данных сертификатов и файлов журнала хранится в следующем месте реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration
Реестр содержит следующие значения:
DBDirectory
DBLogDirectory
DBSystemDirectory
DBTempDirectory
Примечание
После установки можно переместить базу данных сертификатов и файлы журнала.Дополнительные сведения см. В статье 283193 базы знаний Microsoft.
Настроить CA
После установки корневого или подчиненного ЦС необходимо настроить расширения доступа к информации о полномочиях (AIA) и точки распространения списков отзыва сертификатов (CDP), прежде чем ЦС выдаст какие-либо сертификаты. Расширение AIA указывает, где найти актуальные сертификаты для ЦС. Расширение CDP указывает, где найти актуальные списки отзыва сертификатов, подписанные центром сертификации. Эти расширения применяются ко всем сертификатам, выданным этим ЦС.
Настройка этих расширений гарантирует, что эта информация будет включена в каждый сертификат, который выдает ЦС, чтобы она была доступна всем клиентам. Это гарантирует, что клиенты PKI испытают наименьшее возможное количество сбоев из-за непроверенных цепочек сертификатов или отзыва сертификатов, что может привести к неудачным подключениям VPN, неудачным входам со смарт-картами или непроверенным подписям электронной почты.
Как администратор центра сертификации вы можете добавлять, удалять или изменять точки распространения списков отзыва сертификатов и расположения для выдачи сертификатов CDP и AIA.Изменение URL-адреса точки распространения CRL влияет только на недавно выпущенные сертификаты. Ранее выданные сертификаты будут по-прежнему ссылаться на исходное местоположение, поэтому вам следует установить эти местоположения до того, как ваш центр сертификации распространит какие-либо сертификаты.
Учитывайте эти рекомендации при настройке URL-адресов расширения CDP:
Избегайте публикации дельта-списков отзыва сертификатов в автономных корневых центрах сертификации. Поскольку вы не аннулируете многие сертификаты в автономном корневом ЦС, разностный CRL, вероятно, не требуется.
Настройте расположение URL-адресов LDAP: /// и HTTP: // по умолчанию на вкладке Extensions вкладки Properties Extension центра сертификации в соответствии с вашими потребностями.
Опубликуйте CRL в Интернете или в экстрасети HTTP, чтобы пользователи и приложения за пределами организации могли выполнять проверку сертификата. Вы можете опубликовать URL-адреса LDAP и HTTP для местоположений CDP, чтобы клиенты могли получать данные CRL с помощью HTTP и LDAP.
Помните, что клиенты Windows всегда получают список URL-адресов в последовательном порядке, пока не будет получен действительный CRL.
Используйте расположения HTTP CDP для предоставления доступных расположений CRL для клиентов, работающих под управлением операционных систем, отличных от Windows.
Windows PowerShell и certutil
поддерживают номера переменных (которым предшествует знак процента (%)) для облегчения публикации местоположений CDP и AIA. Вкладка Properties Extension CA поддерживает переменные в квадратных скобках.В следующей таблице приведены приравнивания переменных между интерфейсами и описаны их значения.
Переменная | Название вкладки «Расширения» | Описание |
---|---|---|
% 1 | <имя_сервера> | DNS-имя компьютера CA. При подключении к домену DNS это полное доменное имя; в противном случае это имя хоста компьютера. |
% 2 | | NetBIOS-имя сервера CA |
% 3 | | Название CA |
% 4 | | Это позволяет каждой дополнительной версии сертификата иметь уникальный суффикс. |
% 4 | Нет | Не используется |
% 6 | | Расположение контейнера конфигурации в доменных службах Active Directory (AD DS) |
% 7 | | Имя CA, усеченное до 32 символов с хешем в конце |
% 8 | | Добавляет суффикс к имени файла при публикации CRL в файл или расположение URL. |
% 9 | | Когда публикуется разностный CRL, переменная CRLNameSuffix заменяется отдельным суффиксом, чтобы отличать дельта-CRL от CRL. |
% 10 | | Идентификатор класса объекта для точек распространения CRL, который используется при публикации по URL-адресу LDAP. |
% 11 | | Идентификатор класса объекта для CA, который используется при публикации по URL-адресу LDAP. |
Публикация расширения AIA
Расширение AIA сообщает клиентским компьютерам, где они могут найти сертификат для проверки. Это позволяет клиенту подтвердить, можно ли доверять сертификату.
Вы можете настроить расширение AIA с помощью интерфейса центра сертификации, Windows PowerShell или команды certutil
. В следующей таблице описаны параметры, которые можно использовать с расширением AIA с помощью этих методов.
Имя флажка интерфейса | Параметр Windows PowerShell | Значение Certutil |
---|---|---|
Включить в AIA расширение выданного сертификата | -AddToCertificateAia | 2 |
Включить в протокол статуса онлайн-сертификата (OCSP) расширение | -AddToCertificateOcsp | 32 |
Примеры в этом разделе для публикации расширения AIA представляют следующий сценарий:
Доменное имя corp.contoso.com.
В домене есть веб-сервер с именем App1.
App1 имеет общую папку с именем PKI, которая разрешает CA чтение и запись.
App1 имеет DNS CNAME www и общий виртуальный каталог с именем PKI.
Первый протокол, который клиентские компьютеры должны использовать для информации AIA, — это HTTP.
Второй протокол, который клиентские компьютеры должны использовать для информации AIA, — это LDAP.
ЦС, который настраивается, является выдающим ЦС онлайн.
OCSP не используется.
Используйте интерфейс для публикации расширения AIA
Интерфейс использует имена переменных и флажков, которые описаны в предыдущих таблицах. Вы можете получить доступ к интерфейсу через интерфейс центра сертификации. На панели содержимого щелкните правой кнопкой мыши CA, выберите Properties , а затем щелкните Extensions .В Выберите добавочный номер , щелкните Доступ к информации о полномочиях (AIA) .
Рисунок 1 Меню расширения AIA
В пользовательском интерфейсе настроены следующие местоположения и настройки:
C: \ Windows \ system32 \ CertSrv \ CertEnroll \
_ .crt http://www.contoso.com/pki/\
_ .crt - Включить в расширение AIA выданных сертификатов
файл: // \\ App1.corp.contoso.com \ pki \
_ .crt ldap: /// CN =
, CN = AIA, CN = Public Key Services, CN = Services, - Включить в расширение AIA выданных сертификатов
Используйте Windows PowerShell для публикации расширения AIA
Следующие команды Windows PowerShell можно использовать для настройки расширения AIA для данного сценария:
$ aialist = Get-CAAuthorityInformationAccess; foreach ($ aia в $ aialist) {Remove-CAAuthorityInformationAccess $ aia.uri -Force};
Добавить-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file: // \\ App1.corp.contoso.com \ pki \% 1_% 3% 4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap: /// CN =% 7, CN = AIA, CN = Public Key Services, CN = Services,% 6% 11"
Используйте certutil для публикации расширения AIA
Для настройки расширения AIA для данного сценария можно использовать следующую команду certutil
:
certutil -setreg CA \ CACertPublicationURLs "1: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 1_% 3% 4.crt \ n2: http: //www.contoso.com/pki/%1_%3%4.crt \ n1: file: // \\ App1.corp.contoso.com \ pki \% 1_% 3% 4. crt \ n2: ldap: /// CN =% 7, CN = AIA, CN = Public Key Services, CN = Services,% 6% 11 "
restart-service certsvc
certutil
введите все пути в виде одной непрерывной строки, заключенной в кавычки. Каждый путь разделяется знаком \ n
.Опубликовать расширение CDP
Расширение CDP сообщает клиентским компьютерам, где они могут найти самый последний CRL, чтобы клиент мог подтвердить, что конкретный сертификат не был отозван.
Вы можете настроить расширение CDP с помощью интерфейса центра сертификации, Windows PowerShell или команды certutil
. В следующей таблице описаны параметры, которые можно использовать с расширением CDP с помощью этих методов.
Имя флажка интерфейса | Параметр Windows PowerShell | Значение Certutil |
---|---|---|
Публикация списков отзыва сертификатов в этом месте | -PublishToServer | 1 |
Включить во все CRL. (Указывает место публикации в Active Directory при публикации вручную.) | -AddToCrlCdp | 8 |
Включить в списки отзыва сертификатов. (Клиенты используют это, чтобы найти местоположения дельта CRL.) | -AddToFreshestCrl | 4 |
Включить в расширение CDP выданных сертификатов. | -AddToCertificateCdp | 2 |
Публикуйте дельта-списки отзыва сертификатов в этом месте. | -PublishDeltaToServer | 64 |
Включить в IDP расширение выданных CRL. | -AddToCrlIdp | 128 |
Примечание
Расширение выдающей точки распространения (IDP) используется клиентами, отличными от Windows, для проверки отзыва сертификата. Расширение IDP позволяет развертывать разделенные списки отзыва сертификатов при использовании сторонних центров сертификации. Разделенные списки отзыва сертификатов позволяют стороннему центру сертификации публиковать списки отзыва сертификатов только с определенными типами сертификатов в каждом списке отзыва сертификатов. Например, у вас могут быть отдельные CRL для конечных сертификатов и сертификатов CA. В частности, в IDP можно установить следующие параметры:
Если вы разрешаете публикацию дельта-списков отзыва сертификатов на веб-сервере информационных служб Интернета (IIS), необходимо изменить конфигурацию IIS по умолчанию, задав allowDoubleEscaping = true для элемента requestFiltering в системе .web конфигурации IIS. Например, если вы хотите разрешить двойное экранирование для виртуального каталога PKI веб-сайта по умолчанию в IIS, выполните следующую команду на веб-сервере IIS: appcmd set config «Default Web Site / pki» -section: system.webServer / security / requestFiltering -allowDoubleEscaping: истина
. Дополнительные сведения см. В разделе AD CS: веб-сервер должен разрешать URI, содержащий символ «+», чтобы разрешить публикацию дельта-списков отзыва сертификатов.
Примеры в этом разделе для публикации расширения CDP представляют следующий сценарий:
Доменное имя corp.contoso.com.
В домене есть веб-сервер с именем App1.
App1 имеет общую папку с именем PKI, которая разрешает CA чтение и запись.
App1 имеет DNS CNAME www и общий виртуальный каталог с именем PKI.
Первый протокол, который клиентские компьютеры должны использовать для информации CDP, — это HTTP.
Второй протокол, который клиентские компьютеры должны использовать для информации CDP, — это LDAP.
ЦС, который настраивается, является выдающим ЦС онлайн.
IDP не используется.
Используйте интерфейс для публикации расширения CDP
Интерфейс использует имена переменных и флажков, которые описаны в предыдущих таблицах. Вы можете получить доступ к интерфейсу через интерфейс центра сертификации. На панели содержимого щелкните правой кнопкой мыши CA, выберите Properties , а затем щелкните Extensions .В Выберите добавочный номер , щелкните Точка распространения CRL (CDP) .
Рисунок 2 Меню расширения CDP
В интерфейсе настроены следующие местоположения и настройки:
C: \ Windows \ System32 \ CertSrv \ CertEnroll \
.crl http://www.contoso.com/pki/\
.crl файл: // \\ App1.corp.contoso.com \ pki \
.crl ldap: /// CN =
, CN = , CN = CDP, CN = Public Key Services, CN = Services,
Используйте Windows PowerShell для публикации расширения CDP
Следующие команды Windows PowerShell используются для настройки расширения CDP для данного сценария:
$ crllist = Get-CACrlDistributionPoint; foreach ($ crl в $ crllist) {Remove-CACrlDistributionPoint $ crl.uri -Force};
Добавить-CACRLDistributionPoint -Uri C: \ Windows \ System32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl -PublishToServer -PublishDeltaToServer
Добавить-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file: // \\ App1.corp.contoso.com \ pki \% 3% 8% 9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap: /// CN =% 7% 8, CN =% 2, CN = CDP, CN = Public Key Services, CN = Services,% 6% 10" -AddToCrlCdp -AddToCertificateCdp
Примечание
Если вы используете Windows PowerShell для добавления путей CDP, существующие пути останутся на месте.Первая команда Windows PowerShell в примере удаляет все существующие пути. Дополнительные сведения об использовании Windows PowerShell для удаления путей CDP см. В разделе Remove-CACrlDistributionPoint.
Используйте certutil для публикации расширения CDP
Следующая команда certutil
настраивает расширение CDP для данного сценария:
certutil -setreg CA \ CRLPublicationURLs "65: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl \ n6: http: //www.contoso.com/pki/%3%8% 9.crl \ n65: файл: // \\ App1.corp.contoso.com \ pki \% 3% 8% 9.crl \ n10: ldap: /// CN =% 7% 8, CN =% 2, CN = CDP, CN = службы открытых ключей, CN = службы,% 6% 10 "
restart-service certsvc
certutil
введите все пути как одну непрерывную строку, заключенную в кавычки, но разделите каждый путь с помощью \ n
. Чтобы опубликовать CRL, вы можете выполнить команду certutil -crl
в центре сертификации из Windows PowerShell или запустить командную строку от имени администратора.Дополнительные сведения о настройке и публикации CRL см. В разделе Настройка отзыва сертификата.
Проверить конфигурацию
Чтобы проверить конфигурацию ЦС, вы можете запустить следующие команды из Windows PowerShell или из окна командной строки:
Команда | Описание |
---|---|
Certutil -CAInfo | Показывает состояние имен, языковых стандартов, идентификаторов объектов (OID) и CRL для CA. |
Certutil -getreg | Показывает конфигурацию реестра CA. |
Certutil -ADCA | Подтверждает конфигурацию центров сертификации предприятия. |
Средство Enterprise PKI View (PKIView.msc) можно использовать для проверки конфигураций публикации AIA и CDP. Для получения дополнительной информации см. Enterprise PKI.
Вы также можете использовать службу роли сетевого ответчика для проверки отзыва сертификата. Дополнительные сведения об онлайн-ответчике см. В Руководстве по установке, настройке и устранению неполадок сетевого ответчика.
Связанное содержание
.Настроить поддержку AD FS для проверки подлинности сертификата пользователя
- На чтение 9 минут
В этой статье
Аутентификация сертификата пользователя используется в основном в двух случаях использования
- Пользователи используют смарт-карты для входа в свою систему AD FS
- Пользователи используют сертификаты, предоставленные мобильным устройствам
Предварительные требования
- Определите режим аутентификации сертификата пользователя AD FS, который вы хотите включить, используя один из режимов, описанных в этой статье
- Убедитесь, что ваша цепочка доверенных сертификатов пользователей установлена и ей доверяют все серверы AD FS и WAP, включая любые промежуточные центры сертификации.Обычно это делается через GPO на серверах AD FS / WAP .
- Убедитесь, что корневой сертификат цепочки доверия для ваших пользовательских сертификатов находится в хранилище NTAuth в Active Directory
- При использовании AD FS в альтернативном режиме проверки подлинности сертификата убедитесь, что ваши серверы AD FS и WAP имеют сертификаты SSL, содержащие имя узла AD FS с префиксом «certauth», например «certauth.fs.contoso.com», и этот трафик на это имя хоста разрешено через брандмауэр
- При использовании проверки подлинности сертификата из экстрасети убедитесь, что по крайней мере одно расположение AIA и хотя бы одно расположение CDP или OCSP из списка, указанного в ваших сертификатах, доступны из Интернета.
- Также для проверки подлинности сертификата Azure AD для клиентов Exchange ActiveSync сертификат клиента должен содержать маршрутизируемый адрес электронной почты пользователей в Exchange Online либо в значении имени участника, либо в значении имени RFC822 в поле «Альтернативное имя субъекта». (Azure Active Directory сопоставляет значение RFC822 с атрибутом адреса прокси в каталоге.)
- AD FS не поддерживает подсказки имени пользователя с аутентификацией на основе смарт-карты / сертификата.
Настройка AD FS для проверки подлинности сертификата пользователя
Включите проверку подлинности сертификата пользователя в качестве метода проверки подлинности в интрасети или экстрасети в AD FS с помощью консоли управления AD FS или командлета PowerShell. Set-AdfsGlobalAuthenticationPolicy
.
Если вы настраиваете AD FS для проверки подлинности сертификата Azure AD, убедитесь, что вы настроили параметры Azure AD и правила утверждений AD FS, необходимые для эмитента сертификата и серийного номера
Кроме того, есть некоторые дополнительные аспекты.
- Если вы хотите использовать утверждения, основанные на полях и расширениях сертификата в дополнение к EKU (тип утверждения https://schemas.microsoft.com/2012/12/certificatecontext/extension/eku), настройте дополнительные правила передачи утверждений на Active Directory утверждает доверие поставщика.См. Ниже полный список доступных сертификатов.
- Если вам нужно ограничить доступ в зависимости от типа сертификата, вы можете использовать дополнительные свойства сертификата в правилах авторизации выдачи AD FS для приложения. Распространенные сценарии: «разрешить только сертификаты, предоставленные поставщиком MDM» или «разрешить только сертификаты смарт-карт»
Важно
Клиенты, использующие поток кода устройства для аутентификации и выполняющие аутентификацию устройства с использованием IDP, отличного от Azure AD (например,g AD FS) не сможет обеспечить доступ на основе устройств (например, разрешить только управляемые устройства, использующие стороннюю службу MDM) для ресурсов Azure AD. Чтобы защитить доступ к корпоративным ресурсам в Azure AD и предотвратить утечку данных, клиенты должны настроить условный доступ на основе устройства Azure AD (т. Е. «Требовать, чтобы устройство отмечалось как жалоба», в условном доступе Azure AD).
- Настройте разрешенные центры сертификации для сертификатов клиентов, используя руководство в разделе «Управление доверенными поставщиками для аутентификации клиентов» в этой статье.
- Возможно, вы захотите изменить страницы входа в соответствии с потребностями ваших конечных пользователей при выполнении аутентификации сертификата. Обычные случаи: (а) Изменить «Вход с помощью сертификата X509» на что-то более удобное для конечного пользователя
Настроить бесшовную проверку подлинности сертификата для браузера Chrome на настольных компьютерах с Windows
Если на машине присутствует несколько пользовательских сертификатов (например, сертификатов Wi-Fi), которые удовлетворяют целям аутентификации клиента, браузер Chrome на рабочем столе Windows предложит пользователю выбрать правильный сертификат.Это может сбить с толку конечного пользователя. Чтобы оптимизировать этот опыт, вы можете настроить политику для Chrome, чтобы автоматически выбирать правильный сертификат для лучшего взаимодействия с пользователем. Эта политика может быть установлена вручную путем внесения изменений в реестр или настроена автоматически через GPO (для установки ключей реестра). Это требует, чтобы ваши пользовательские клиентские сертификаты для проверки подлинности в AD FS имели отличных издателей от других вариантов использования.
Для получения дополнительной информации о настройке для Chrome перейдите по этой ссылке.
Устранение неполадок при проверке подлинности сертификата
В этом документе основное внимание уделяется устранению распространенных проблем, когда AD FS настроен для проверки подлинности сертификата для пользователей.
Проверьте, правильно ли настроены доверенные издатели сертификатов на всех серверах AD FS / WAP.
Распространенный симптом: HTTP 204 «Нет содержимого с https://certauth.adfs.contoso.com»
AD FS использует базовую операционную систему Windows, чтобы подтвердить владение сертификатом пользователя и убедиться, что он соответствует доверенному издателю, выполнив проверку цепочки доверия сертификатов.Чтобы соответствовать доверенному издателю, вам необходимо убедиться, что все корневые и промежуточные центры настроены как доверенные издатели в хранилище центров сертификации локальных компьютеров. Чтобы проверить это автоматически, используйте инструмент диагностического анализатора AD FS. Инструмент опрашивает все серверы и проверяет правильность предоставления нужных сертификатов.
- Загрузите и запустите инструмент в соответствии с инструкциями по ссылке выше
- Загрузите результаты и проверьте на наличие сбоев
Проверьте, включена ли проверка подлинности сертификата в политике проверки подлинности AD FS
AD FS по умолчанию не включает проверку подлинности сертификата.Обратитесь к началу этого документа о том, как включить аутентификацию сертификата.
Проверьте, включена ли проверка подлинности сертификата в политике проверки подлинности AD FS
AD FS выполняет проверку подлинности сертификата пользователя по умолчанию на порту 49443 с тем же именем узла, что и AD FS (например, adfs.contoso.com
). Вы также можете настроить AD FS на использование порта 443 (порт HTTPS по умолчанию) с использованием альтернативной привязки SSL. Однако в этой конфигурации используется URL-адрес certauth.
(e.г. certauth.contoso.com
). См. Эту ссылку для получения дополнительной информации.
Наиболее распространенный случай сетевого подключения — это неправильная настройка брандмауэра, блокирующая или препятствующая трафику проверки подлинности сертификата пользователя. Обычно при возникновении этой проблемы вы увидите пустой экран или ошибку сервера 500.
- Обратите внимание на имя хоста и порт, которые вы настроили в AD FS
- Убедитесь, что любой брандмауэр перед AD FS или прокси-сервером веб-приложения (WAP) настроен для разрешения комбинации
hostname: port
для вашей фермы AD FS.Для выполнения этого шага вам нужно будет обратиться к сетевому инженеру.
Проверить связь со списком отозванных сертификатов
Списки отзыва сертификатов (CRL) — это конечные точки, которые закодированы в сертификате пользователя для выполнения проверок отзыва во время выполнения. Например, если устройство, содержащее сертификат, украдено, администратор может добавить сертификат в список отозванных сертификатов. Любая конечная точка, которая ранее приняла этот сертификат, теперь не сможет пройти аутентификацию.
Каждому серверу AD FS и WAP необходимо будет достичь конечной точки CRL, чтобы проверить, действителен ли предоставленный ему сертификат и не отозван. Проверка CRL может происходить через HTTPS, HTTP, LDAP или через OCSP (протокол статуса онлайн-сертификата). Если серверы AD FS / WAP не могут достичь конечной точки, проверка подлинности завершится ошибкой. Следуйте инструкциям ниже, чтобы решить эту проблему.
- Проконсультируйтесь со своим инженером PKI, чтобы определить конечные точки CRL, используемые для отзыва пользовательских сертификатов из вашей системы PKI.
- На каждом сервере AD FS / WAP убедитесь, что конечные точки CRL доступны через используемый протокол (обычно HTTPS или HTTP)
- Для расширенной проверки включите ведение журнала событий CAPI2 на каждом сервере AD FS / WAP
- Проверить наличие события с кодом 41 (Подтвердить отзыв) в рабочих журналах CAPI2
- Проверьте
‘\
Функция отзыва не смогла проверить отзыв, поскольку сервер отзыва был отключен. \ Result \> '
Совет : Вы можете настроить таргетинг на один сервер AD FS или WAP для упрощения устранения неполадок, настроив разрешение DNS (файл HOSTS в Windows) так, чтобы оно указывало на конкретный сервер.Это позволяет включить трассировку для сервера.
Убедитесь, что это проблема с указанием имени сервера (SNI)
AD FS требует, чтобы клиентское устройство (или браузеры) и балансировщики нагрузки поддерживали SNI. Некоторые клиентские устройства (обычно более старые версии Android) могут не поддерживать SNI. Кроме того, балансировщики нагрузки могут не поддерживать SNI или не были настроены для SNI. В этих случаях вы, вероятно, столкнетесь с ошибками сертификации пользователей.
- Совместно с сетевым инженером убедитесь, что Load Balancer для AD FS / WAP поддерживает SNI .
- В случае, если SNI не может поддерживаться, AD FS может обойтись, выполнив следующие шаги
- Открыть окно командной строки с повышенными привилегиями на основном сервере AD FS
- Введите
Netsh http show sslcert
- Скопируйте «GUID приложения» и «хэш сертификата» службы федерации .
- Введите
netsh http add sslcert ipport = 0.0.0.0: {your_certauth_port} certhash = {your_certhash} appid = {your_applicaitonGUID}
Проверить, правильно ли настроено клиентское устройство с сертификатом
Вы можете заметить, что некоторые устройства работают правильно, а другие — нет. В этом случае это обычно является результатом неправильной подготовки сертификата пользователя на клиентском устройстве. Следуйте инструкциям ниже.
- Если проблема специфична для устройства Android, наиболее распространенной проблемой является то, что цепочка сертификатов не является полностью доверенной на устройстве Android.Обратитесь к поставщику MDM, чтобы убедиться, что сертификат предоставлен правильно и вся цепочка полностью доверена на устройстве Android.
- Если проблема специфична для устройства Windows, проверьте, правильно ли предоставлен сертификат, проверив хранилище сертификатов Windows для зарегистрированного пользователя (не системы / компьютера).
- Экспортируйте сертификат пользователя клиента в файл .cer и выполните команду «certutil -f -urlfetch -verify certificatefilename.cer»
Проверьте, совместима ли версия TLS между серверами AD FS / WAP и клиентским устройством
В редких случаях клиентское устройство (обычно мобильные устройства) обновляется для поддержки только более поздней версии TLS (например, 1.3), или у вас может быть обратная проблема, когда серверы AD FS / WAP были обновлены для использования только более высокой версии TLS, а клиентское устройство не поддерживает ее. Вы можете использовать онлайн-инструменты SSL, чтобы проверить свои серверы AD FS / WAP и узнать, совместим ли он с устройством. Для получения дополнительной информации о том, как управлять версиями TLS, перейдите по этой ссылке.
Проверьте, правильно ли настроен PromptLoginBehavior для Azure AD в настройках федеративного домена.
Многие приложения Office 365 отправляют приглашение = вход в Azure AD.Azure AD по умолчанию преобразует его в новый пароль для входа в AD FS. В результате, даже если вы настроили аутентификацию сертификата в AD FS, ваши конечные пользователи будут видеть только пароль для входа.
- Получите настройки федеративного домена с помощью команды «Get-MsolDomainFederationSettings», пусть
- Убедитесь, что для параметра PromptLoginBehavior установлено одно из значений «Disabled» или «NativeSupport».
Для получения дополнительной информации перейдите по этой ссылке.
Дополнительный поиск и устранение неисправностей
Это редкие случаи
- Если ваши списки CRL очень длинные, при попытке загрузки может истечь время ожидания.В этом случае вам необходимо обновить «MaxFieldLength» и «MaxRequestByte» согласно https://support.microsoft.com/help/820129/http-sys-registry-settings-for-windows .
Ссылка: Полный список типов утверждений сертификатов пользователя и примеры значений
Вид заявки | Пример значения |
---|---|
https://schemas.microsoft.com/2012/12/certificatecontext/field/x509version | 3 |
https: // схемы.microsoft.com/2012/12/certificatecontext/field/signaturealgorithm | sha256RSA |
https://schemas.microsoft.com/2012/12/certificatecontext/field/issuer | CN = entca, DC = домен, DC = contoso, DC = com |
https://schemas.microsoft.com/2012/12/certificatecontext/field/issuername | CN = entca, DC = домен, DC = contoso, DC = com |
https://schemas.microsoft.com/2012/12/certificatecontext/field/notbefore | 05.12.2016 20:50:18 |
https: // схемы.microsoft.com/2012/12/certificatecontext/field/notafter | 05.12.2017 20:50:18 |
https://schemas.microsoft.com/2012/12/certificatecontext/field/subject | [email protected], CN = пользователь, CN = пользователи, DC = домен, DC = contoso, DC = com |
https://schemas.microsoft.com/2012/12/certificatecontext/field/subjectname | [email protected], CN = пользователь, CN = пользователи, DC = домен, DC = contoso, DC = com |
https: // схемы.microsoft.com/2012/12/certificatecontext/field/rawdata | {данные цифрового сертификата в кодировке Base64} |
https://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusage | Цифровая подпись |
https://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusage | KeyEncipherment |
https://schemas.microsoft.com/2012/12/certificatecontext/extension/subjectkeyidentifier | 9D11941EC06FACCCCB1B116B56AA97F3987D620A |
https: // схемы.microsoft.com/2012/12/certificatecontext/extension/authoritykeyidentifier | KeyID = d6 13 e3 6b bc e5 d8 15 52 0a fd 36 6a d5 0b 51 f3 0b 25 7f |
https://schemas.microsoft.com/2012/12/certificatecontext/extension/certificatetemplatename | Пользователь |
https://schemas.microsoft.com/2012/12/certificatecontext/extension/san | Другое имя: имя участника = пользователь@contoso.com, имя RFC822 = пользователь@contoso.com |
https: // схемы.microsoft.com/2012/12/certificatecontext/extension/eku | 1.3.6.1.4.1.311.10.3.4 |