概要

概要

最近、私の従業員の一人が CAC カードと USB リーダーを入手しました。

リーダーは正常に動作し、IE9 を開いて [オプション] > [コンテンツ] > [証明書] > [個人] に移動すると証明書が表示されます。

DoD の Web サイト (Internet Explorer JPAS) にアクセスして CAC ボタンをクリックすると、さまざまな証明書のダイアログが表示されます。DOD CA-25 を選択し、PIN を入力すると、Web ページがエラーになります。(Internet Explorer のエラー レポートはあまり適切ではありませんが、エラー 103 だったと思います。)

自宅の PC から同じ手順を繰り返すと、同じリーダーと CAC ですべて正常に動作します。

仕事で何が起こっているのですか?

アップデート:

  • Chrome で表示されるエラーは「エラー 107」です
  • Windows 7 64ビット版を使用しています
  • 私のCherry st-1044uでも、安価なcl-ud-200 63-in-1カードリーダーでも同じ結果が得られます。どちらのリーダーも私の古いマシンで完璧に動作します。

答え1

自宅のブラウザが証明書を要求しない場合は、別の証明書セットがインストールされている可能性があります。自宅のブラウザにインストールされている DoD 証明書と、職場のマシンにインストールされている証明書を比較してください。また、ポップアップで利用できる証明書と、自宅のマシンにインストールされている証明書を比較してください。

CAC には有効だが Web サイトには有効ではない DoD CA を選択している可能性があります。(CAC が複数の CA によって署名されている場合)

職場と自宅で同じ目的の Web サイトを使用してテストしていますか?

そうでない場合は、同じ URL を使用して CAC 操作を確認する必要があります。

もしそうなら、サイトの IP アドレスと証明書を確認してください。サイトは異なるネットワーク上にミラーリングされている可能性があります。つまり、接続元によっては、同じ URL が異なるシステムに解決され、異なるシステムには異なる IP アドレスがある可能性があります。

答え2

ブラウザの暗号化設定 (SSL、TLS) を確認してください。一部のサイトでは、必要なものが特に指定されています。企業がサイトに必要な設定を無効にしている可能性があります。

また、職場から(どのマシンからでも)アクセスできなかった場合は、パブリック IP が DoD ファイアウォールのブラック リストに登録されている可能性があります。

答え3

私の回答は IE に基づいています。他のブラウザでもこの問題が発生する場合は、発生しているエラーの詳細とブラウザの正確なバージョン (自宅とオフィスの両方) を投稿に追加してください。

エラー 107 は、ブラウザと Web サイトが SSL プロトコルの使用について合意できない場合に発生します。この問題に対処する私の回答ポイント 1 を以下で参照してください。また、IE のエラー レポートは、コントロール パネル -> インターネット オプション / 詳細設定タブ / ブラウズ セクションに移動し、「HTTP エラー メッセージを簡易表示する」のチェックを外して [OK] を押し、IE を再起動することで改善できます。

この(非常に長い)軍事記事を読むことをお勧めします:
CACリーダーとソフトウェアの設定中に発生する可能性のある問題

この記事には、多くの問題に対する複数の解決策が記載されています。いくつか選択して、コントロール パネル -> インターネット オプションのほとんどは IE に関係しますが、一部は他のブラウザーにも関係することに注意してください (変更後にブラウザーを再起動する必要があります)。

  1. インターネット オプション / 詳細設定タブ / セキュリティ セクションで、TLS 1.0 と SSL 3.0 の両方がオンになっており、SSL 2.0 がオフになっていることを確認します。それでも問題が解決しない場合は、SSL 2.0 もオンにしてみてください。
  2. インターネット オプション / セキュリティ タブ / 信頼済みサイトで、既定のレベルを低に変更し、ドメインを信頼済みサイトに追加します。また、インターネットをクリックして、既定のレベルを中に変更します。
  3. インターネット オプションで、[全般] タブの [削除...] ボタンでキャッシュをクリアし、[インターネット一時ファイル] と [Cookie] にチェックマークを付けて、[削除] ボタンをクリックします。
  4. インターネット オプション / 詳細設定タブ / セキュリティ セクションで、「CD からのアクティブ コンテンツをマイ コンピューターで実行できるようにする」をオンまたはオフにしてみてください。
  5. インターネット オプション / コンテンツ / 証明書 / 個人 / 詳細設定で、「クライアント認証」というボックスをオンにします。
  6. インターネット オプション / セキュリティ タブで、インターネットをクリックし、「保護モードを有効にする」のチェックを外します。

私の追加:Internet Explorer のセキュリティ強化構成を無効にする

Chromeについては、記事をご覧くださいエラー107が表示される

答え4

この回答は質問されてから 5 年経ってからのものですが、無効な証明書チェーンに関する問題が発生しました。

概要

他のDoD証明書を適切にインストールした場合(非機密文書を参照)、ミリタリーおよびDoD PKEについてインストールルート ~5.0.0) の場合、私と同様に、証明書チェーンが競合している可能性があります。

インターネットオプション設定ツール(またはcertmgr.mscお好みで)で、競合する証明書をいくつか削除する必要があります。MilitaryCAC のレポート、 彼のその他の記事(「不正な証明書」のページを参照)またはDoD PKEのCross-Certificate Remover(InstallRootと同じページで利用可能、いくつかの文書)は「不正な証明書」を削除するが、MilitaryCAC公式ツールが不十分だと感じた:

時間を無駄にしたいなら、お気軽にご利用ください。

改善策

  1. DoD証明書がインストールされていることを確認する(InstallRoot 5.0.0 以上; 代替:非HTTPS公式サイト; 両方のパッケージは不適切に署名されていますが、とにかく実行されるはずです)
  2. 証明書ページを開きます(Internet Explorer → Internet OptionsContentCertificatesまたはcertmgr.msc使用方法がわかっている場合)。
  3. 無効なものを削除する中間認証局ない信頼されたルート証明書
    • DoD Interoperability Root CA 1(例11/15/2019)
    • DoD Root CA 2(例9/6/2019: 中間証明書にルート CA が含まれているのはなぜですか?)
    • SHA-1 Federal Root CA G2(例12/31/2019)
    • DoD Interoperability Root *something*(例8/15/2019)
    • DoD Root CA 3(例2/17/2019)
    • Federal Bridge CA 2016(例11/8/2019)
  4. 動作するはずです。再起動後かもしれません。

関連情報