зачем он нужен и что с ним делать
Женщина в период беременности, во время и после родов имеет право на бесплатную медицинскую помощь в государственных медучреждениях. Чтобы женщина и ребенок получали качественную медпомощь, государство ввело программу родовых сертификатов. По такому сертификату медицинские организации получают выплаты от Фонда социального страхования. При этом сертификат не влияет на то, где женщина будет вести беременность и рожать — клинику для консультаций и роддом она выбирает сама.
Вероника Нецова
получила родовый сертификат
Профиль автораРасскажу в статье, как оформить родовый сертификат и где его можно использовать.
Что такое родовый сертификат
Родовый сертификат — это специальный документ, который позволяет медицинским организациям получать деньги за качественно оказанную медицинскую помощь.
Так выглядят корешок и талон № 1 родового сертификата А вот остальные талоны и сам сертификат. В женской консультации выдают родовый сертификат без корешка и талона № 1 — они остаются для подтверждения выдачи документов и оплаты услуг консультацииТалонов родового сертификата четыре:
- Талон № 1 нужен для оплаты услуг по медицинской помощи того учреждения, в котором стояла на учете и наблюдалась беременная женщина.
- Талон № 2 — для оплаты медицинских услуг родильных домов.
- Талон № 3-1 пойдет на оплату услуг за первые шесть месяцев диспансерного наблюдения ребенка.
- Талон № 3-2 — за вторые шесть месяцев.
Медицинские учреждения собирают талоны родовых сертификатов, передают их в региональное отделение Фонда социального страхования и получают деньги.
Сам родовый сертификат выдается женщине при выписке из роддома. Он подтверждает, что она получила медицинскую помощь во время беременности, родов и послеродовой период. На сертификате указывают данные пациентки, дату рождения ребенка, его рост и вес при рождении.
Родовым сертификатом называют весь документ с талонами и одну из частей сертификата, которая остается у женщины
Чем родовый сертификат отличается от обменной карты и диспансерной книжки
Беременные встают на учет в женскую консультацию или медицинский центр. Там они проходят осмотры и сдают анализы. На каждую женщину медучреждение заводит обменную карту и диспансерную книжку.
Обменную карту выдают на руки беременной. С ней женщина едет рожать и передает ее в роддом при оформлении. В обменной карте врачи смотрят, здорова ли женщина. Если карты нет, ее положат в инфекционное отделение. Диспансерная книжка хранится только в медицинском учреждении.
Родовый сертификат — документ другого назначения. Он ничего не говорит о здоровье беременной женщины и нужен роддому только для того, чтобы получить выплаты из ФСС.
Это обменная карта. Обложка в разных регионах или районных женских консультациях может выглядеть по-разному, но внутри документ одинаковый Сначала обменную карту заполняет врач консультации, потом — работник роддома. В ней он записывает информацию о родах и состоянии женщины после нихСумма родового сертификата
- За медицинские услуги — 3000 Р, за услуги правовой, психологической и медико-социальной помощи — 1000 Р. В итоге за каждую женщину поликлиника может получить максимум 4000 Р.
- Помощь во время родов и в послеродовой период — 6000 Р. Эти деньги получает роддом.
- За каждого ребенка, которого поставили на учет до трех месяцев и который проходил профилактические осмотры в первые шесть месяцев с даты постановки на учет, — 1000 Р. Деньги идут детской поликлинике.
- За каждого ребенка, которого осматривали в течение следующих шести месяцев с даты постановки на учет, — 1000 Р.
п. 8 Правил, утв. Постановлением Правительства РФ от 31.12.2010 № 1233
К сожалению, ФСС считает, что услуги были оказаны некачественно, только если у женщины или новорожденного ребенка есть осложнения. В таком случае ФСС оплачивает медуслуги не полностью или не оплачивает вообще.
Если вы считаете, что медицинские услуги вам оказали некачественно, звоните на горячую линию ФСС и пишите жалобу на имя главврача учреждения. В жалобе необходимо сформулировать свои пожелания: например, чтобы врач принес извинения или чтобы ему сделали выговор. На письменную жалобу вам должны ответить в течение 30 дней. Если врач часто хамит, его могут уволить.
Заберите свое у государства!
Как получать вычеты, льготы и пособия, рассказываем в нашей рассылке раз в месяц. Подпишитесь!
Правила оформления
Когда и где выдают. Родовый сертификат можно получить с 30-й недели при одноплодной беременности и с 28-й недели — при многоплодной. Его выдают в государственном или муниципальном медучреждении: в женской консультации или роддоме. Причем получить его можно в любой момент до того, как ребенку исполнится три месяца. Если женщина потеряет сертификат, ей нужно обратиться в выдавшее сертификат учреждение, чтобы получить дубликат, например в консультацию или роддом.
пп. 6, 7, 12 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Женщина, которая ведет беременность платно, может получить родовый сертификат в женской консультации по месту жительства. Он ей пригодится, если она планирует рожать бесплатно в государственном учреждении или водить ребенка в государственную поликлинику. Если женщина не получит сертификат и поедет в государственный роддом без него — ничего страшного: роддом оформит сертификат самостоятельно.
Еще сертификат может получить женщина, усыновившая ребенка возрастом до трех месяцев, — мужчине его не выдадут. Женщина может получить сертификат в детской поликлинике при постановке ребенка на учет, если до момента постановки на учет ему не исполнилось трех месяцев.
п. 7 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Какие нужны документы. Для получения сертификата женщина представляет своему врачу следующие документы:
- Паспорт или другой документ, удостоверяющий личность: удостоверение личности офицера или военный билет — для военнослужащих, свидетельство о рождении — для девочек младше 14 лет.
- Полис ОМС.
- СНИЛС.
п. 5 порядка, утв. Приказом Минздравсоцразвития России от 15.01.2007 № 33
Если у женщины нет полиса, СНИЛС или регистрации по месту жительства, то ей все равно выдадут сертификат. В сертификате отметят в специальных полях, почему этих документов или регистрации не было. Сертификат не дадут иностранцам без разрешения на временное проживание или вида на жительство в РФ.
п. 6 приложения к Приказу Минздрава РФ от 16.07.2014 № 370н
Кто и как использует сертификат
Воспользоваться родовым сертификатом могут только государственные медучреждения, которые оказывают медицинскую помощь по полису ОМС.
Работает это так. Территориальный орган Фонда социального страхования Российской Федерации и медицинская организация заключают специальный договор. Затем медорганизация оказывает женщине медицинские услуги, получает от нее талон родового сертификата и отправляет его в территориальный орган ФСС. После этого получает вознаграждение за качественно оказанные медуслуги.
При этом медорганизация должна иметь специальную лицензию на медицинскую деятельность по следующим направлениям:
- Акушерство и гинекология — чтобы получить оплату за услуги по медицинской помощи женщинам в период беременности.
- Акушерство и гинекология, педиатрия или неонатология — чтобы получить оплату услуг по медицинской помощи женщинам и новорожденным в период родов и послеродовой период.
- Педиатрия, неврология, офтальмология, детская хирургия, оториноларингология, детская стоматология, травматология и ортопедия, лабораторная диагностика, функциональная диагностика, ультразвуковая диагностика — чтобы получить оплату за профилактические медицинские осмотры ребенка в первый год жизни. Если какой-то лицензии у медицинской организации нет, она направляет пациентов в клинику, у которой лицензия есть.
Этапы заполнения и получения талонов. Вот где заполняют талоны в родовом сертификате:
- Пункты 1—5 родового сертификата, его корешок, талон № 1 и пункты 1—8 талона № 2 заполняет врач медучреждения, где женщина получила сертификат, чаще всего — женской консультации. Корешок и талон № 1 остаются там.
- Пункты 9—11 талона № 2 заполняет медицинский работник роддома. Он остается в роддоме, в котором рожала женщина. Там же заполняют пункты 6—10 родового сертификата.
- Родовый сертификат и талоны № 3-1 и № 3-2 выдаются женщине при выписке из роддома.
Инструкция по заполнению родового сертификата
После талоны № 3 нужно передать в детское лечебное учреждение, где будут осматривать новорожденного. Талон № 3-1 пойдет на оплату услуг за первые шесть месяцев диспансерного наблюдения ребенка, талон № 3-2 — за вторые шесть месяцев.
Руководитель учреждения подписывает запись в каждом талоне и ставит печать.
Куда отдавать сертификат после родов. Талоны № 3-1 и № 3-2 родового сертификата нужно отдать в детскую поликлинику при постановке ребенка на учет. Сам родовый сертификат остается у женщины, отдавать его никуда не нужно.
Родовый сертификат остался у меня после выписки из роддомаОграничения при использовании
Родовый сертификат нельзя обналичить. Все деньги по этому сертификату пойдут медицинским учреждениям: поликлинике, роддому, женской консультации.
Женская консультация не получит деньги, если женщина наблюдалась там менее 12 недель.
Роддому откажут в выплате в следующих случаях:- Если мать или ребенок умрут, пока находятся там. При этом роддом получит деньги, если родилась двойня и погиб только один ребенок.
- Если ребенок родился вне роддома — например, в автомобиле скорой помощи, в фельдшерско-акушерском пункте и т. д.
Детские поликлиники не получат оплату по сертификатам в следующих случаях:
- Ребенка поставили на учет после того, как ему исполнилось 3 месяца.
- Ребенок умер в первый год жизни.
- Детская поликлиника вовремя не начала или не закончила медосмотры ребенка.
- Детская поликлиника поздно заполнила талоны и сдала их в ФСС.
Запомнить
- Родовый сертификат нужен государственным медицинским учреждениям для получения выплат из ФСС. Обналичить и забрать деньги себе не получится.
- Если вы наблюдаетесь платно, планируете рожать по контракту и записать ребенка в частную клинику, родовый сертификат вам не нужен. Но если передумаете и поедете в роддом за бесплатной медициной — езжайте спокойно даже без сертификата на руках: роддом оформит его самостоятельно.
- Если считаете, что медуслуги были оказаны некачественно и женская консультация, роддом или детская поликлиника не достойны выплат из ФСС, позвоните на горячую линию ФСС и расскажите о нарушениях. Скорее всего, выплаты медучреждение получит, но при этом может попасть под проверку.
С 1 июля 2021 г. родовый сертификат — только в электронном виде
Дата публикации . Опубликовано в Новости
Родовый сертификат предоставляет беременным женщинам право самостоятельно выбирать медучреждение, в котором она будет наблюдаться во время беременности, и где она будет рожать и наблюдать новорожденного.
Учитывая, что талоны родового сертификата имеют свою стоимость, прибавку к своей зарплате получат те сотрудники медицинской организации, где женщина будет наблюдаться за счет ОМС в период беременности, родов, послеродовый период, а ее ребенку будут оказываться услуги по профилактическому осмотру в течение первого года жизни. Оплата услуг медицинских организаций, оказанных женщинам в определенные периоды, осуществляется региональным отделением Фонда на основании представленных медицинской организацией талонов родового сертификата.
Бланк электронного родового сертификата формируется врачами при первом посещении женщиной женской консультации по месту жительства. Для этого ей необходимо предоставить паспорт, медицинский полис и СНИЛС. В случае, если родовый сертификат не был открыт женской консультацией, его сформирует роддом. Электронный родовый сертификат также может быть сформирован и детской поликлиникой, где будут проводиться профилактические осмотры ребенка.
Заполняться и храниться электронный сертификат будет в единой информационной системе Фонда социального страхования Российской Федерации «ЕИИС «Соцстрах». Всю информацию о том, что беременная встала на учет в женской консультации, роды были успешно приняты, и услуги по профилактическому наблюдению ребенка в течение первого года жизни были оказаны, региональные отделения Фонда будут получать автоматически. Это значительно упростит процедуру заполнения родового сертификата медицинскими работниками, а женщине, в свою очередь, не придется больше носить с собой неудобный бумажный бланк родового сертификата и переживать, что родовый сертификат может быть испорчен или утерян.
Специалисты Петербургского отделения ФСС проводят семинары/вебинары с представителями медицинских организаций по вопросам ведения электронных родовых сертификатов. Следите за расписанием мероприятий на сайте! Актуальную информацию можно получить и по телефону Единого call-центра ФСС 8(800) 302-75-49. А закрепленный за медицинской организацией персональный менеджер регионального отделения Фонда поможет оперативно решать возникающие вопросы.
10 вопросов о родовых сертификатах
depositphotos.com
Зачем мне родовой сертификат?
Родовой сертификат — это целая программа помощи будущим мамам в рамках нацпроекта «Здравоохранение». Однако женщина и так может бесплатно наблюдаться, рожать и получать необходимую помощь в государственных медучреждениях. В чем же тогда смысл этого документа?
Сертификат – серьезный стимул для врачей лечить как можно лучше, а с пациентками общаться деликатно и вежливо.
По нему больницы получают выплаты от Фонда социального страхования (ФСС) на ведение беременности, роды и наблюдение за малышом, пока ему не исполнится год.
Причем женщина выбирает любую женскую консультацию и роддом, в документе они заранее не прописаны. В любое время организацию можно поменять (разве что перед самыми родами этого делать не стоит).
Кстати, родовой сертификат полагается и женщине, которая усыновила ребенка в возрасте младше трех месяцев. В этом случае по сертификату можно будет наблюдаться с ребенком до того, как ему исполнится год. Документ оформляют в детской поликлинике.
Можно выбрать вообще любой роддом?
Любой, который работает по этой программе (частные клиники не считаются). Например, если вы заинтересованы, чтобы на родах присутствовала доула или предусматривалось совместное пребывание матери и ребенка, то сможете выбрать именно такой роддом, где это разрешено.
В свою очередь, медицинская организация с большей охотой станет предоставлять такие услуги, ведь она заинтересована в том, чтобы вы пришли. Для нее это дополнительный доход, который поможет приобрести новое оборудование, повысить зарплату персоналу и так далее.
А если мне нагрубили или нанесли вред здоровью ребенка, несмотря на родовой сертификат?
Если вы недовольны оказанной помощью, обращайтесь на горячую линию ФСС: (495) 650-19-17 и сообщите о нарушениях. ФСС проведет проверку по специальным критериям. В результате учреждение получит только часть суммы за оказанные вам услуги — или же совсем не получит.
Еще раз: родовой сертификат нужен только для получения медучреждениями выплат из ФСС.
Этим он принципиально отличается от обменной карты и диспансерной книжки, в которых содержится информация о здоровье беременной.
Как получить сертификат?
Родовой сертификат оформляют в любой женской консультации – независимо от фактического места проживания или прописки, возраста и социального статуса женщины – с 30-й недели беременности (с 28-й, если беременность многоплодная). Его выдадут и позже, в любое время, если ребенку еще нет трех месяцев.
Вам понадобятся паспорт, полис ОМС и СНИЛС.
А если у меня нет ОМС или СНИЛС?
Хорошая новость: сертификат все равно выдадут. Просто в соответствующих графах укажут, почему их не было.
Что делать, если я потеряла бумажные талоны?
Если родовой сертификат потеряется, надо обратиться за дубликатом в то же учреждение, которое выдало оригинал.
depositphotos.com
Даже если во время беременности вы наблюдаетесь в платной клинике, можно зайти в любую женскую консультацию и получить сертификат: вдруг вы решите рожать по ОМС или прикрепить ребенка к государственной поликлинике.
Роды начались внезапно, сертификат я оформить не успела. Меня не примут в больнице?
Если у вас так и не дошли руки оформить родовой сертификат – ничего страшного! В госучреждениях вам все равно должны помочь бесплатно. Просто они сами подадут заявку в ФСС.
Можно получить вместо сертификата деньги и рожать в частном роддоме?
Обменять сертификат на деньги или оплатить им услуги платной клиники не получится. Выплаты по нему может получить только больница, которая работает по этой программе. Передать или продать документ третьему лицу тоже.
Как правильно использовать сертификат?
Если вы получили родовой сертификат в женской консультации, то корешок они оставят себе в подтверждение того, что документ выдан. У вас на руках останутся талоны, которые в свое время заберут консультация, роддом и детская поликлиника.
Я переехала и хочу прикрепиться к новой женской консультации. Меня уже не будут вести бесплатно?
Если во время беременности вы ходили на осмотры в несколько женских консультаций, то право на талон имеет та, в которой вы состояли на учете дольше. Такая ситуация может возникнуть, например, при переезде.
Допустим, в первом триместре вы наблюдались в женской консультации Иркутска, а потом переехали в Москву (или наоборот). Если после переезда вы сразу встали на учет, то столичная женская консультация получит талон по родовому сертификату, ведь здесь вас наблюдали оставшиеся 2 триместра.
Возможно, вы решили сменить учреждение из-за качества обслуживания. Талон получит та больница, где вы наблюдались дольше.
Как заполнить общий сертификат происхождения (видео)
Слово «универсальный» относится не только к дешевым товарам в продуктовом магазине. Это также означает неспецифический, всеобъемлющий и всеобъемлющий.
Итак, общий сертификат происхождения — это неспецифическая форма, которую можно использовать в любой стране, у которой нет Соглашения о свободной торговле с США.
Посмотрите это видео, чтобы увидеть, насколько просто создать общий сертификат происхождения с помощью программного обеспечения Shipping Solutions.
Расшифровка видео:
Сначала перейдите на экран EZ Start-Contacts и введите имена и адреса Exporter и Ultimate Consignee . Затем перейдите к экрану EZ Start-Product Detail и введите Описание продукта , Schedule B, код и Country of Origin для каждой отдельной позиции в вашей отгрузке.
Наконец, перейдите к экрану EZ Start-Generic Certificate of Origin .Здесь вы можете выбрать фразу из базы данных Phrase Database , которая будет отображаться в нижней части формы под подписью компании. В Shipping Solutions предварительно загружено заявление, которое большинство торговых палат используют в сертификате происхождения. Все, что вам нужно сделать, это добавить название и состояние вашей камеры.
Вы также можете указать место и дату подписания сертификата вашей компанией. Если вы загрузили файл подписи в Shipping Solutions и выбрали его в своем профиле, он появится в документе, но вы можете заменить его другой подписью здесь.
Есть еще одно место, где вы можете внести некоторые изменения в общий сертификат происхождения. Перейдите на вкладку Tools , разверните дерево Customize Documents и выберите Certificate of Origin (Generic) . Вы можете изменить описания полей, отображаемые в форме, щелкнув Ярлыки полей . Вы можете изменить принтер и поля, щелкнув Параметры печати . Вы также можете изменить заголовок формы, количество отображаемых цифр в Таблице B и формат даты.
Существуют также флажки, чтобы скрыть Заявление о присяге и Строка подписи . Они отображаются в нижнем левом углу общего сертификата происхождения и используются вашей местной торговой палатой для подтверждения вашей формы, если того требует страна, в которую вы экспортируете. В противном случае вы можете скрыть эти поля.
В качестве последнего варианта можно выбрать отображение специальных инструкций по коммерческому счету . Они будут отображаться непосредственно под позициями и над подписями.Специальные инструкции для коммерческого счета вводятся на экране EZ Start-Invoices под номером коммерческого счета и могут быть выбраны из базы данных фраз .
Как видите, с решениями по доставке ваш общий сертификат происхождения может быть заполнен за время, необходимое для разогрева макарон с сыром!
Управление общими сертификатами SCEP | ManageEngine Mobile Device Manager Plus
Управление универсальными сертификатами SCEP | ManageEngine Mobile Device Manager PlusИспользуя универсальную интеграцию SCEP, ИТ-администраторы могут использовать простой протокол регистрации сертификатов для безопасного развертывания запросов на регистрацию сертификатов на устройствах с помощью MDM.MDM можно интегрировать с вашим сервером CA для динамического создания пользовательских сертификатов и распространения сертификатов в больших масштабах, облегчая массовое развертывание сертификатов за счет автоматической подготовки, обновления и автоматической установки сертификатов на устройства.
Настройка SCEP в MDM
Чтобы настроить SCEP в MDM
, выполните следующие действия.- На консоли MDM перейдите к Управление устройством -> Сертификаты
- Щелкните вкладку Серверы CA и щелкните Добавить сервер CA
- Укажите следующие сведения:
| Профиль профиля | Описание |
|---|---|
| Тип сервера | Укажите тип сервера как Generic SCEP. |
| Название центра сертификации | Укажите имя центра сертификации, выдающего сертификаты. |
| URL-адрес сервера | URL-адрес, который необходимо указать в устройстве для получения сертификата. Укажите URL-адрес HTTP-сервера, если сервер SCEP находится в сети организации и не открыт для внешних сетей. Сертификат запрашивается по этому URL-адресу. |
| Добавить сертификат CA | Загрузите сертификат центра сертификации |
Создание шаблонов для серверов CA
Для создания пользовательских сертификатов необходимо настроить шаблон, на основе которого все сертификаты будут выдаваться ЦС.
Чтобы настроить шаблон в MDM, выполните следующие действия:
- В консоли MDM перейдите к Управление устройством -> Сертификаты .
- Щелкните вкладку Шаблоны и щелкните Добавить шаблоны
- Выберите сервер, которому принадлежит шаблон. В этом случае выберите стандартный сервер SCEP, который был добавлен ранее.
- Укажите следующие сведения:
| Спецификация профиля | Описание |
|---|---|
| Название шаблона сертификата | Укажите имя шаблона сертификата. |
| Тема | Укажите DN субъекта, который должен присутствовать в сертификате. Вы можете использовать динамические ключи, такие как % username%,% email%,% firstname% , чтобы получить соответствующие данные, сопоставленные с устройством. Например, вы можете ввести C = US, O = Zylker, OU = Zylker, CN =% firstname%. |
| Субъект Альтернативное имя Тип | Укажите одно из следующих значений: None, RFC 822 Name, DNS Name или Uniform Resource Identifier для типа альтернативного имени субъекта. |
| Значение альтернативного имени субъекта (Может быть настроено, только если настроен тип альтернативного имени субъекта) | Укажите значение альтернативного имени субъекта. Вводимое значение может включать DNS-имя, URI или адрес электронной почты. Например, вы можете использовать динамический ключ % email% для электронной почты. |
| Основное имя NT | Укажите основное имя NT, используемое в организации. |
| Максимальное количество неудачных попыток | Укажите максимальное количество неудачных попыток проверки, разрешенное для получения сертификата от ЦС. После того, как максимальный предел будет превышен, пользователям будет временно запрещено пытаться подтвердить учетную запись пользователя. |
| Интервал времени между попытками | Время ожидания перед последующими попытками получения сертификата |
| Тип вызова | Предварительно общий секретный ключ, предоставляемый центром сертификации, который добавляет дополнительный уровень безопасности.Если выбран Static , пароль запроса будет отправлен на сервер SCEP для аутентификации. Если выбрано Нет , сервер SCEP не запрашивает аутентификацию, и любое устройство может получить сертификат, обратившись к URL-адресу SCEP. |
| Пароль запроса на регистрацию (можно настроить, только если выбран тип запроса «Статический») | Укажите пароль вызова, который будет использоваться. Все устройства будут использовать указанный пароль для аутентификации. |
| Размер ключа | Укажите, имеет ли ключ 1024 или 2048 битов |
| Использование в качестве цифровой подписи | Включение этого параметра гарантирует, что сертификат можно использовать для цифровой подписи |
| Использование для шифрования ключей | Включение этой опции гарантирует, что сертификат может использоваться для шифрования ключа |
| Автопродление сертификата | Включение этого параметра гарантирует автоматическое обновление сертификатов до истечения срока их действия. |
| Автоматическое продление сертификата до | Укажите количество дней, до которых сертификат должен быть автоматически продлен. |
Создание профиля SCEP
Для распространения сертификатов на управляемые устройства с этими устройствами должен быть связан профиль SCEP. Следуйте инструкциям ниже, чтобы создать профиль SCEP и связать его с устройствами
.- Перейдите к Управление устройством -> Профили и создайте профиль Apple, Android или Windows.
- Выберите SCEP на левой панели.
- Выберите созданный шаблон сертификата.
- Нажмите Сохранить и опубликуйте профиль.
Рекомендуется распространить профиль на устройство для тестирования, прежде чем распространять его в производственной среде. После завершения тестирования вы можете распространить профиль в производственной среде с помощью групп.
Copyright © 2021, ZOHO Corp. Все права защищены.доверенных конечных точек — развертывание общего сертификата
Обратная связь
Была ли эта страница полезной? Сообщите нам, как мы можем сделать это лучше.
Функция надежных конечных точекDuo защищает ваши конфиденциальные приложения, гарантируя, что только известные устройства могут получить доступ к защищенным службам Duo. Когда пользователь аутентифицируется с помощью приглашения Duo, мы проверяем наличие сертификата устройства Duo на этой конечной точке.Вы можете отслеживать доступ к своим приложениям с устройств с сертификатом Duo и без него, а также при необходимости блокировать доступ с устройств без сертификата Duo.
доверенных конечных точек является частью плана Duo Beyond.
Перед включением политики надежных конечных точек в ваших приложениях вам необходимо развернуть сертификат устройства Duo на ваших управляемых устройствах. Мы задокументировали этот процесс для некоторых популярных систем управления конечными точками. Если вы используете другой инструмент для управления своими конечными точками, воспользуйтесь нашей общей интеграцией управления Windows и Mac для развертывания пакета сертификата устройства Duo.
Как только клиент аутентифицируется в Duo с помощью этого сертификата, он становится связанным с этой конкретной конечной точкой. Поэтому вам нужно будет повторить процесс загрузки и установки уникального сертификата Duo из панели администратора Duo для каждой отдельной системы.
Проверка сертификатов доверенных конечных точекDuo работает в браузерах Google Chrome, Edge Chromium, Apple Safari и Internet Explorer.
Предварительные требования
- Доступ к панели администратора Duo в качестве администратора с административными ролями «Владелец», «Администратор» или «Менеджер приложений».
- Доступ к консоли вашей системы управления конечными точками в качестве администратора с правами на создание новых пакетов распространения программного обеспечения и запланированных задач.
Mac OS X Enterprise Asset Management Tool
Создание интеграции с Mac OS X Enterprise Asset Management Tool
- Войдите в панель администратора Duo и перейдите к Надежным конечным точкам.
- Если это ваша первая интеграция управления, нажмите кнопку «Настроить интеграцию средств управления» внизу страницы.Если вы добавляете другую интеграцию управления, вместо этого нажмите кнопку «Добавить интеграцию».
- На странице «Добавить интеграцию средств управления» найдите общие интеграции в перечисленных интеграциях и щелкните селектор «Добавить эту интеграцию».
- Выберите «Сертификаты для macOS» из «Устаревших» вариантов, а затем нажмите кнопку «Добавить».
Новая интеграция Mac OS X Enterprise Asset Management Tool создается в состоянии «Отключено». Вы включите его, когда будете готовы применить свою политику доверенных конечных точек Duo.
Не закрывайте панель администратора в браузере, чтобы завершить развертывание остальной части сертификата Duo macOS.
Развертывание сценария регистрации macOS
В окне браузера панели администратора Duo просмотрите интеграцию инструментов управления Mac OS X Enterprise Asset Management Tool. В разделе «Загрузить файлы развертывания» на странице (шаг 1) выберите один из вариантов срока действия сертификата:
Сертификаты на 1 год Срок действия этих сертификатов истекает через год с момента выдачи.Это лучший вариант для большинства развертываний Duo. Сертификаты на 7 дней Срок действия этих сертификатов истекает через неделю (семь дней) с момента выдачи. Выберите этот вариант, если у вас есть пользователи, которым требуется перевыпуск сертификатов чаще, чем установленный по умолчанию год. Например, у вас есть пользователи виртуальных рабочих столов, чьи конечные точки VDI периодически повторно развертываются, или группа подрядчиков, которые не будут использовать одни и те же рабочие станции в течение года. Щелкните Загрузить сценарий .Фактическое имя загруженного скрипта Python будет похоже на
duo_cert_enrollment-3.5.py.Скопируйте загруженный сценарий в систему управления конечной точкой Mac.
Создайте программный пакет для конечных точек macOS, чтобы запустить скрипт Python для регистрации сертификатов Duo с правами
sudo.Создайте задание развертывания для запуска пакета Duo Python на конечных точках macOS. Он должен работать на конечной точке в контексте вошедшего в систему пользователя, а не рабочей станции, чтобы сертификат был добавлен в цепочку ключей пользователя.
Этот сценарий регистрирует клиент Mac OS в качестве доверенной конечной точки Duo, получая сертификат устройства из Duo, а также настраивает Safari и Chrome (если есть) на автоматический выбор сертификата Duo во время аутентификации.
Мы рекомендуем запускать сценарий на управляемых рабочих станциях при входе каждого пользователя в систему, а также по регулярному ежедневному или еженедельному расписанию, чтобы обеспечить своевременное обновление сертификата Duo клиента.
ВАЖНО! Убедитесь, что ваше задание по распространению или запланированное задание не оставляет скрипт Duo на клиенте Mac OS в легкодоступном месте после завершения.Если ваш конечный пользователь имеет доступ к сценарию, он может запустить его на других устройствах для получения сертификатов Duo для этих конечных точек без вашего ведома.
Проверить сертификат
Чтобы убедиться, что сценарий регистрации Duo, развернутый через систему управления конечной точкой Mac, работал, запустите приложение Mac OS Keychain Access и убедитесь, что сертификат Duo Device Authentication существует в связке ключей duo-auth.
На этом этапе настроенная интеграция отключена и не применяется ни к каким пользователям, пока вы не завершите развертывание.
Средство управления корпоративными активами Windows
Создание интеграции с Windows Enterprise Asset Management Tool
- Войдите в панель администратора Duo и перейдите к Надежным конечным точкам.
- Если это ваша первая интеграция управления, нажмите кнопку «Настроить интеграцию средств управления» внизу страницы. Если вы добавляете другую интеграцию управления, вместо этого нажмите кнопку «Добавить интеграцию».
- На странице «Добавить интеграцию средств управления» найдите общие интеграции в перечисленных интеграциях и щелкните селектор «Добавить эту интеграцию».
- Выберите «Сертификаты для Windows» в параметрах «Устаревшие» и нажмите кнопку «Добавить».
Новая интеграция Windows Enterprise Asset Management Tool создается в состоянии «Отключено». Вы включите его, когда будете готовы применить свою политику доверенных конечных точек Duo.
Не закрывайте панель администратора в браузере, чтобы завершить развертывание остальной части сертификата Duo Windows.
Развертывание файлов регистрации в Windows
В окне браузера панели администратора Duo просмотрите интеграцию инструментов управления Windows Enterprise Asset Management Tool.В разделе «Загрузить файлы развертывания» на странице (шаг 1.1) выберите один из вариантов срока действия сертификата:
Сертификаты на 1 год Срок действия этих сертификатов истекает через год с момента выдачи. Это лучший вариант для большинства развертываний Duo. Сертификаты на 7 дней Срок действия этих сертификатов истекает через неделю (семь дней) с момента выдачи. Выберите этот вариант, если у вас есть пользователи, которым требуется перевыпуск сертификатов чаще, чем установленный по умолчанию год.Например, у вас есть пользователи виртуальных рабочих столов, чьи конечные точки VDI периодически повторно развертываются, или группа подрядчиков, которые не будут использовать одни и те же рабочие станции в течение года. Щелкните Загрузить пакетный файл . Имя загруженного скрипта будет похоже на
duo_cert_enrollment.bat. Затем щелкните ссылку на шаге 2.2, чтобы загрузить исполняемый файл регистрации, имя которого будет иметь видduo_cert_enrollment-cmsv3-5.0.exe.Если ваши пользователи получают доступ к сайтам, защищенным Duo, с помощью браузера Edge Chromium, также щелкните ссылку для загрузки файла конфигурации Edge duo_edge_configuration.bat . Загруженный файл будет называться trust_endpoints_edge_configuration.bat .
Скопируйте загруженные пакетные сценарии и исполняемый файл в свою систему управления конечными точками Windows.
Создайте программный пакет для конечных точек Windows, чтобы запустить пакетный сценарий регистрации сертификатов Duo (который вызывает исполняемый файл регистрации сертификатов Duo).Ваш пакет должен включать оба файла.
Если вы загрузили пакетный файл Edge Chromium на шаге 1, также добавьте его в качестве дополнительного файла к пакету.
Создайте задание развертывания для запуска программного пакета сертификата Duo на конечных точках Windows. Он должен работать на конечной точке в контексте вошедшего в систему пользователя, а не рабочей станции, чтобы сертификат был добавлен в хранилище личных сертификатов пользователя.
Этот сценарий регистрирует клиент Windows в качестве доверенной конечной точки Duo, получая сертификат устройства из Duo, а также настраивает Internet Explorer (и, возможно, Edge Chromium) на автоматический выбор сертификата Duo во время аутентификации.
Мы рекомендуем запускать сценарий на управляемых рабочих станциях при входе каждого пользователя в систему, а также по регулярному ежедневному или еженедельному расписанию, чтобы обеспечить своевременное обновление сертификата Duo клиента.
ВАЖНО! Убедитесь, что ваше задание по распространению или запланированное задание не оставляет скрипт Duo и исполняемый файл на клиенте Windows в легко обнаруживаемом месте после завершения. Если ваш конечный пользователь имеет доступ к сценарию и исполняемому файлу, он может запустить его на других устройствах для получения сертификатов Duo для этих конечных точек без вашего ведома.
Проверить сертификат
Чтобы убедиться, что пакет регистрации Duo, развернутый через вашу систему управления конечными точками Windows, работал, запустите Диспетчер сертификатов пользователей () certmgr.msc ) и разверните Сертификаты — Текущий пользователь \ Персональные \ Сертификаты . Найдите в списке сертификат проверки подлинности устройства Duo .
Конфигурация браузера Chrome
Пакет сертификатовDuo для Windows настраивает Internet Explorer на автоматический выбор сертификата устройства Duo при запросе запроса аутентификации Duo.Google Chrome требует дополнительных действий для внесения того же изменения. Без этого пользователям будет предложено выбрать сертификат устройства Duo при аутентификации. Вы можете распространить конфигурацию браузера Chrome с помощью групповой политики AD среди клиентов ПК, подключенных к домену. Автономные клиенты должны быть настроены с помощью утилиты Microsoft LGPO.
Настроить Chrome с EAM и LGPO
Посетите страницу «Утилита объектов локальной групповой политики» в Microsoft TechNet и загрузите lgpo.zip по ссылке внизу страницы.
Щелкните две ссылки для загрузки в разделе «Загрузить файлы для настройки Google Chrome» на странице Windows Enterprise Asset Management Tool (шаг 1). Имена загруженных файлов будут похожи на
chrome_cert_lgpo_policy-1.0.polиduo_chrome_configuration.bat.Извлеките исполняемый файл LGPO.exe из zip-файла, загруженного на шаге 1, и скопируйте его и файл.Файлы pol и .bat, загруженные из Duo на шаге 2, в вашу систему управления конечными точками Windows.
Создайте программный пакет для конечных точек Windows, чтобы запустить пакетный сценарий конфигурации Chrome (который вызывает LGPO.exe и файл политики Chrome .pol). Ваш пакет должен включать все три файла.
Создайте задание развертывания для запуска программного пакета сертификата Duo на конечных точках Windows. В отличие от запланированной задачи сертификата Duo, конфигурация Chrome должна запускаться на компьютере только один раз.
Настройте Chrome с помощью GPO
На контроллере домена или другой системе с установленными средствами удаленного администрирования сервера Windows запустите консоль управления групповой политикой (GPMC).
Разверните свой лес и перейдите вниз по дереву к Объекты групповой политики . Щелкните правой кнопкой мыши папку «Объекты групповой политики» и выберите Новый . Введите имя для нового объекта групповой политики (например, «Политика сертификатов Duo Chrome») и нажмите OK .
Щелкните правой кнопкой мыши новый объект групповой политики, созданный на шаге 2, и выберите Изменить .
Перейдите к User Configuration \ Preferences \ Windows Settings \ Registry .
Загрузите файл Chrome Configuration.xml, который содержит параметры реестра GPO, необходимые для настройки Chrome для автоматического выбора сертификата Duo. Сохраните этот файл в месте, доступном из консоли GPMC. Имя загруженного файла будет похоже на
chrome_cert_gpo_config-1.xml.Вернитесь в окно редактора групповой политики и скопируйте / вставьте загруженный XML-файл Chrome (из окна проводника, а не содержимое файла) в панель «Реестр» справа от окна редактора GPO. Подтвердите импорт вставленного документа, нажав Да .
Это добавляет параметры реестра в разделе HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Google \ Chrome \ AutoSelectCertificateForUrls в GPO.
Этот параметр реестра позволяет Chrome автоматически выбирать сертификат устройства Duo по запросу браузера Duo, не предлагая пользователю в интерактивном режиме выбрать сертификат.
По завершении настройки всех параметров закройте окно редактора групповой политики.
Примените вновь созданный объект групповой политики сертификата Duo Chrome, связав его с подразделениями, содержащими клиентские компьютеры домена, используемые для доступа к ресурсам Duo.
Завершить развертывание доверенных конечных точек
После того, как вы развернули сертификат Duo на своих конечных точках, вы можете настроить политику надежных конечных точек, чтобы начать проверку сертификата при аутентификации пользователей в службах и приложениях, защищенных Duo.
Когда ваша политика доверенных конечных точек применяется к вашим приложениям Duo, вернитесь к Mac OS X Enterprise Asset Management Tool или Windows Enterprise Asset Management Tool к интеграции управления доверенными конечными точками в панели администратора. В разделе «Изменить статус интеграции» на странице отображается текущий статус интеграции (по умолчанию отключен после создания). Вы можете активировать эту интеграцию управления только для членов указанной тестовой группы или групп или активировать для всех пользователей.
Страницы Device Insight и Endpoints в панели администратора Duo показывают, на каких устройствах доступа присутствует сертификат Duo.
По мере того, как все больше ваших устройств получают сертификат Duo, вы можете изменить активацию интеграции, чтобы она применялась ко всем пользователям (если раньше вы настраивали таргетинг только на тестовые группы), настроить политику доверенных конечных точек, чтобы расширить целевую группу, применить ее к дополнительным защищенным службам или начать блокировать доступ к приложениям с устройств, у которых нет сертификата Duo.Дополнительную информацию см. В документации по надежным конечным точкам.
Устранение неисправностей
Нужна помощь? Ознакомьтесь со статьями базы знаний о надежных конечных точках или обсуждениями в сообществе. Для получения дополнительной помощи обратитесь в службу поддержки.
Общие инструкции по установке сертификата сервера
Вы должны установить сертификат сервера , чтобы обеспечить безопасный доступ к вашему веб-серверу. Выполните следующие шаги:
- Откройте текстовый редактор.
- Выберите Server Certificate в своем веб-браузере (включая строки «—- BEGIN CERTIFICATE —— » и « —— END CERTIFICATE —— »).
- Вставьте сертификат в текстовый редактор и сохраните его как файл. Если вы устанавливаете сертификат на веб-сервере под управлением Microsoft Windows, имя файла должно иметь расширение .crt или .cer (например, entrustcert.crt). В противном случае используйте расширение файла по умолчанию.
- Сделайте резервную копию файла Server Certificate на каком-либо съемном носителе (например, компакт-диске или USB-накопителе) и сохраните резервную копию в безопасном месте.
- Закройте текстовый редактор.
- Установите сертификат, как описано в документации к серверу, или обратитесь за помощью к нашим руководствам по и базе знаний .
- Включите SSL на своем веб-сервере, как описано в документации к серверу.
Если у вас есть какие-либо вопросы или проблемы, пожалуйста, свяжитесь с отделом поддержки Entrust Certificate Services для получения дополнительной помощи:
Часы работы:
Воскресенье с 20:00 по восточноевропейскому времени по пятницу с 20:00 по восточноевропейскому времени
Северная Америка (бесплатно): 1-866-267-9297
За пределами Северной Америки: 1-613-270-2680 (или см. список ниже)
ПРИМЕЧАНИЕ. Пользователи смартфонов могут использовать номера 1-800, указанные в таблице ниже.
В противном случае очень важно, чтобы международные абоненты набирали формат UITF точно так, как указано. Не набирайте дополнительную цифру «1» перед цифрой «800», иначе ваш звонок не будет принят как бесплатный звонок UITF.
| Страна | Номер |
| Австралия | 0011-800-3687-7863 1-800-767-513 |
| Австрия | 00-800-3687-7863 |
| 00-800-3687-7863 | |
| Дания | 00-800-3687-7863 |
| Финляндия | 990-800-3687-7863 (Telecom Финляндия) 00-800-3687-7863 (Finnet ) |
| Франция | 00-800-3687-7863 |
| Германия | 00-800-3687-7863 |
| Гонконг | 001-800-3687-7863 (голос) 002 — 800-3687-7863 (факс) |
| Ирландия | 00-800-3687-7863 |
| Израиль | 014-800-3687-7863 |
| Италия | 00-800-3687-7863 |
| Япония | 001-800-3687-7863 (KDD) 004-800-368 7-7863 (ITJ) 0061-800-3687-7863 (IDC) |
| Корея | 001-800-3687-7863 (Korea Telecom) 002-800-3687-7863 (Dacom) |
| Малайзия | 00-800-3687-7863 |
| Нидерланды | 00-800-3687-7863 |
| Новая Зеландия | 00-800-3687-7863 0800-4413101 |
| Норвегия 00-800-3687-7863 | |
| Сингапур | 001-800-3687-7863 |
| Испания | 00-800-3687-7863 |
| Швеция | 00-800-3687-7863 ( Telia) 00-800-3687-7863 (Tele2) |
| Швейцария | 00-800-3687-7863 |
| Тайвань | 00-800-3687-7863 |
| Великобритания | 00 — 800-3687-7863 0800 121 6078 +44 (0) 118 953 3088 |
Приложение А.Справочник по вводу и выводу профиля сертификата Система сертификатов Red Hat 9
Входные и выходные данные профиля определяют ожидаемые входные параметры в запросе сертификата и выходной формат результата регистрации. Как и многие другие компоненты в системе сертификатов Red Hat, входы и выходы профилей реализованы в виде подключаемых модулей JAVA для обеспечения гибкости и настройки. В этом приложении приведены ссылки на подключаемые модули ввода и вывода по умолчанию.
Вход помещает определенные поля на страницу регистрации, связанную с определенным профилем сертификата.Входные данные, установленные для профиля сертификата, используются для динамического создания страницы регистрации с соответствующими полями; эти поля ввода собирают необходимую информацию для профиля, чтобы сгенерировать окончательный сертификат.
A.1.1. Ввод запроса сертификата
Входные данные запроса сертификата используются для регистрации, в которой запрос сертификата вставляется в форму регистрации. Он позволяет установить формат запроса из раскрывающегося списка и предоставляет поле ввода для вставки запроса.
Этот ввод помещает следующие поля в форму регистрации:
Тип запроса сертификата . Это раскрывающееся меню позволяет пользователю указать тип запроса сертификата. Возможные варианты: PKCS # 10 или CRMF. Регистрация сообщений управления сертификатами через синтаксис криптографических сообщений (CMC) поддерживается как PKCS # 10, так и CRMF.
Запрос сертификата . Это текстовая область, в которую нужно вставить запрос.
Пример А.1.
caAdminCert.cfg: input.i1.class_id = certReqInputImpl
A.1.2. Ввод запроса сертификата CMC
Входные данные запроса сертификата CMC используются для регистрации с использованием сообщения сертификата через CMS (CMC), который отправляется в форме запроса. Тип запроса должен быть PKCS # 10 или CRMF, и единственное поле — это текстовая область Certificate Request , в которую нужно вставить запрос.
Пример А.2.
caCMCUserCert.cfg: input.i1.class_id = cmcCertReqInputImpl
A.1.3. Вход для создания двойного ключа
Вход «Создание двойного ключа» предназначен для регистрации, в которой будут сгенерированы пары двойных ключей и, таким образом, выданы два сертификата: один для подписи, а другой — для шифрования.
Этот ввод помещает следующие поля в форму регистрации:
Тип запроса на создание ключа .Это поле предназначено только для чтения. В качестве типа запроса отображается
crmf.Запрос на создание ключа . В этом поле устанавливается выбор размера ключа в запросе на создание ключа для сертификатов шифрования и подписи.
Пример А.3.
caDualCert.cfg: input.i1.class_id = dualKeyGenInputImpl
A.1.4. Вход для подписи файла
Вход File-Signing устанавливает поля для подписи файла, чтобы показать, что он не был подделан.
Этот ввод создает следующие поля:
Тип запроса на создание ключа . Это поле предназначено только для чтения. В качестве типа запроса отображается
crmf.Запрос на создание ключа . Этот ввод добавляет раскрывающееся меню для выбора размера ключа для использования в запросе генерации ключа.
URL-адрес подписываемого файла . Это указывает расположение файла, который нужно подписать.
Подписываемый текст . Это дает имя файла.
Пример А.4.
caAgentFileSigning.cfg: input.i2.class_id = fileSigningInputImpl
Вход Image устанавливает поле для подписи файла изображения. Единственное поле, которое создает этот ввод, — это URL изображения , в котором указывается местоположение изображения, которое должно быть подписано.
A.1.6. Вход для генерации ключа
Вход «Генерация ключа» используется для регистрации, в которой будет сгенерирована одна пара ключей, как правило, для регистрации сертификатов на основе пользователей.
Этот ввод помещает следующие поля в форму регистрации:
Тип запроса на создание ключа . Это поле предназначено только для чтения. В качестве типа запроса отображается
crmf.Запрос на создание ключа . Этот ввод добавляет раскрывающееся меню для выбора размера ключа для использования в запросе генерации ключа.
Пример A.5.
caDualCert.cfg: input.i1.class_id = keyGenInputImpl
A.1.7. nsHKeyCertRequest (ключ токена) Ввод
Ввод Token Key используется для регистрации ключей для аппаратных токенов, которые агенты будут использовать позже для аутентификации на основе сертификатов.
Этот ввод помещает следующие поля в форму регистрации:
Пример А.6.
caTempTokenDeviceKeyEnrollment.cfg: input.i1.class_id = nsHKeyCertReqInputImpl
A.1.8. nsNKeyCertRequest (ключ пользователя токена) Ввод
Ввод Token User Key используется для регистрации ключей для пользователя аппаратного токена, чтобы агенты могли использовать токен позже для аутентификации на основе сертификата.Этот ввод помещает следующие поля в форму регистрации:
Пример A.7.
caTempTokenUserEncryptionKeyEnrollment.cfg: input.i1.class_id = nsNKeyCertReqInputImpl
A.1.9. Ввод обновления серийного номера
Вход для обновления серийного номера используется для установки серийного номера существующего сертификата, чтобы ЦС мог извлечь исходную запись сертификата и использовать эту информацию для повторного создания сертификата. Входные данные вставляют поле Серийный номер в форму регистрации.
Это единственный ввод, который необходимо использовать с формой продления; вся остальная информация предоставляется в записи сертификата.
Пример A.8.
caTokenUserEncryptionKeyRenewal.cfg: input.i1.class_id = serialNumRenewInputImpl
A.1.10. Тема DN Ввод
Ввод DN субъекта позволяет пользователю ввести конкретное DN для установки в качестве имени субъекта сертификата, а ввод вставляет одно поле Subject Name в форму регистрации.
Пример A.9.
caAdminCert.cfg: input.i3.class_id = subjectDNInputImpl
A.1.11. Ввод имени субъекта
Вход Subject Name используется для регистрации, когда необходимо получить параметры DN от пользователя. Параметры используются для формулирования имени субъекта в сертификате. Этот ввод помещает следующие поля в форму регистрации:
UID (идентификатор пользователя каталога LDAP)
Электронная почта
Common Name (имя пользователя)
Организационная единица (организационная единица (
или), к которой принадлежит пользователь)Организация (наименование организации)
Страна (страна, в которой находится пользователь)
Пример А.10.
caDualCert.cfg: input.i2.class_id = subjectNameInputImpl
A.1.12. Ввод информации об отправителе
Входная информация об отправителе собирает информацию о запрашивающем сертификате, такую как имя, адрес электронной почты и телефон.
Этот ввод помещает следующие поля в форму регистрации:
Имя запрашивающего
Электронная почта запрашивающего
Телефон запрашивающего
Пример А.11.
caAdminCert.cfg: input.i2.class_id = submitterInfoInputImpl
Общий ввод позволяет администраторам указывать любое количество полей ввода, которые будут использоваться с надстройками расширения, которые обрабатывают шаблоны. Например, параметры ccm и GUID используются в подключаемом модуле по умолчанию для расширения альтернативного имени субъекта с шаблоном:
Пример A.12.
input.i3.class_id = genericInputImpl input.i3.params.gi_display_name0 = ccm Вход.i3.params.gi_param_enable0 = true input.i3.params.gi_param_name0 = ccm input.i3.params.gi_display_name1 = GUID input.i3.params.gi_param_enable1 = true input.i3.params.gi_param_name1 = GUID input.i3.params.gi_num = 2 … policyset.set1.p6.default.class_id = subjectAltNameExtDefaultImpl policyset.set1.p6.default.name = Расширение альтернативного имени субъекта по умолчанию policyset.set1.p6.default.params.subjAltExtGNEnable_0 = true policyset.set1.p6.default.params.subjAltExtGNEnable_1 = true policyset.set1.p6.default.params.subjAltExtPattern_0 = $ request.куб.см $ policyset.set1.p6.default.params.subjAltExtType_0 = DNSName policyset.set1.p6.default.params.subjAltExtPattern_1 = (Любой) 1.3.6.1.4.1.311.25.1,0410 $ request.GUID $ policyset.set1.p6.default.params.subjAltExtType_1 = OtherName policyset.set1.p6.default.params.subjAltNameExtCritical = false policyset.set1.p6.default.params.subjAltNameNumGNs = 2
A.1.14. Ввод расширения альтернативного имени субъекта
Ввод расширения альтернативного имени субъекта используется вместе с подключаемым модулем расширения альтернативного имени субъекта по умолчанию.Это позволяет администраторам включать пронумерованные параметры в URI с шаблоном req_san_pattern_ # на входе и, следовательно, с расширением SubjectAltNameExt . Например, URI, содержащий:
... & req_san_pattern_0 = host0.Example.com & req_san_pattern_1 = host1.Example.com
вставляет host0.Example.com и host1.Example.com в расширение SubjectAltNameExt из профиля ниже.
Пример А.13.
input.i3.class_id = input.i3.name = subjectAltNameExtInputImplsubjectAltNameExtInputImpl … policyset.serverCertSet.9.constraint.class_id = noConstraintImpl policyset.serverCertSet.9.constraint.name = Нет ограничений policyset.serverCertSet.9.default.class_id = subjectAltNameExtDefaultImpl policyset.serverCertSet.9.default.name = Расширение альтернативного имени субъекта По умолчанию policyset.serverCertSet.9.default.params.subjAltExtGNEnable_0 = true policyset.serverCertSet.9.default.params.subjAltExtPattern_0 = $ request.req_san_pattern_0 $ policyset.serverCertSet.9.default.params.subjAltExtType_0 = DNSName policyset.serverCertSet.9.default.params.subjAltExtGNEnable_1 = true policyset.serverCertSet.9.default.params.subjAltExtPattern_1 = $ request.req_san_pattern_1 $ policyset.serverCertSet.9.default.params.subjAltExtType_1 = DNSName policyset.serverCertSet.9.default.params.subjAltExtGNEnable_2 = false policyset.serverCertSet.9.default.params.subjAltExtPattern_2 = $ request.req_san_pattern_2 $ policyset.serverCertSet.9.default.params.subjAltExtType_2 = DNSName policyset.serverCertSet.9.default.params.subjAltNameExtCritical = false policyset.serverCertSet.9.default.params.subjAltNameNumGNs = 2
Настройка общего сертификата SSL
Настройка общего сертификата SSLМенеджер SSL позволяет настроить наш общий сертификат SSL на ваш домен
Чтобы настроить сертификат SSL, выберите «Использовать общий сертификат SSL. (бесплатно) «радиокнопка из страницу «Диспетчер SSL» и нажмите кнопку «Далее» .Вам будет предложено подтвердить установку. Нажмите «Далее» кнопку, чтобы завершить операцию. Это настроит наш общий сертификат SSL. в вашем домене. Результат операции будет отображаться на «SSL «Менеджер». Результат включает в себя названия каталогов, которые вы необходимо использовать для безопасного содержания и ссылку на ваш защищенный сайт. Два каталоги называются «безопасными» и «безопасными-cgi-bin». Доступ к защищенному контенту можно получить по адресу:
https: //www.securewebexchange.com / ваш домен /
Нажмите кнопку «Готово», чтобы выйти из диспетчера SSL.
Securewebexchange.com
Домен www.securewebexchange.com это точка доступа браузера к вашему защищенному контенту. Безопасный и безопасный-cgi-bin каталоги используются для хранения вашего защищенного контента и доступны через FTP и WebsiteOS Файловый менеджер. Поскольку эти каталоги существуют за пределами вашего общедоступного каталога, они не могут быть напрямую доступны через веб-браузер. Как отмечалось выше параграф securewebexchange.ком домен используется браузером для просмотра вашего защищенного содержимого.
Примеры реализации
В этих примерах используется фиктивный домен под названием «bobscars.com». и предположим, что диспетчер SSL был запущен для настройки домена на securewebexchange.
Чтобы просмотреть защищенную форму заказа под названием «order.html», the order.html файл загружается в «безопасный» каталог bobscars.com. Пользователи формы будет обращаться к нему через домен securewebexchange.com по адресу: https: // www.securewebexchange.com/bobscars.com/order.html.
Чтобы использовать безопасный CGI под названием «process.cgi» для обработки заказа. форма, файл process.cgi загружается на bobscars.com secure-cgi-bin каталог. На странице «order.html» CGI вызывается из тег формы: