Überblick

Überblick

Einer meiner Mitarbeiter hat vor Kurzem eine CAC-Karte und ein USB-Lesegerät bekommen.

Der Reader funktioniert einwandfrei und ich kann die Zertifikate sehen, wenn ich IE9 öffne und zu Optionen > Inhalt > Zertifikate > Persönlich gehe.

Wenn ich eine DoD-Website (Internet Explorer JPAS) aufrufe und auf die Schaltfläche „CAC“ klicke, wird ein Dialogfeld mit den verschiedenen Zertifikaten angezeigt. Ich wähle DOD CA-25 aus, gebe meine PIN ein und dann wird auf der Webseite ein Fehler angezeigt. (Internet Explorer meldet keine besonders guten Fehler, aber ich glaube, es war Fehler 103.)

Wenn ich diese Schritte von meinem PC zu Hause aus wiederhole, funktioniert mit demselben Lesegerät und CAC alles problemlos.

Was läuft schief bei der Arbeit?

Aktualisierung:

  • Der von Chrome ausgegebene Fehler lautet „Fehler 107“
  • Ich verwende Windows 7 64-Bit
  • Ich erziele mit meinem Cherry st-1044u das gleiche Ergebnis wie mit meinem billigen cl-ud-200 63-in-1-Kartenleser; beide Leser funktionieren auf meiner alten Maschine einwandfrei

Antwort1

Wenn Ihr privater Browser nicht nach einem Zertifikat fragt, ist möglicherweise ein anderer Zertifikatssatz installiert. Vergleichen Sie die in Ihrem privaten Browser installierten DoD-Zertifikate mit denen auf Ihrem Arbeitscomputer. Vergleichen Sie außerdem die im Popup verfügbaren Zertifikate mit den auf Ihrem privaten Computer installierten Zertifikaten.

Möglicherweise wählen Sie eine DoD-CA aus, die für das CAC gültig ist, aber nicht für die Website. (Wenn das CAC von mehreren CAs signiert ist)

Verwenden Sie zum Testen bei der Arbeit und zu Hause dieselbe Zielwebsite?

Wenn nicht, müssen Sie dieselbe URL verwenden, um den CAC-Vorgang zu überprüfen.

Überprüfen Sie in diesem Fall die IP-Adresse und das Zertifikat der Site. Die Site kann in verschiedenen Netzwerken gespiegelt sein, was bedeutet, dass dieselbe URL je nach Verbindungsort möglicherweise in verschiedene Systeme aufgelöst wird und die verschiedenen Systeme wahrscheinlich unterschiedliche IP-Adressen haben.

Antwort2

Überprüfen Sie die Verschlüsselungseinstellungen (SSL, TLS) des Browsers. Manche Websites haben spezielle Anforderungen. Das Unternehmen hat möglicherweise die Einstellungen deaktiviert, die die Website benötigt.

Wenn Sie von der Arbeit aus (von keinem Rechner aus) nie dorthin gelangen konnten, steht Ihre öffentliche IP-Adresse möglicherweise auf der schwarzen Liste der Firewall des Verteidigungsministeriums.

Antwort3

Meine Antwort bezieht sich auf den Internet Explorer. Wenn dies auch bei anderen Browsern der Fall ist, fügen Sie Ihrem Beitrag bitte die Informationen zum genauen Fehler, auf den Sie stoßen, und zur genauen Browserversion (sowohl für den Heim- als auch für den Bürobrowser) hinzu.

Fehler 107 tritt auf, wenn sich Browser und Website nicht auf das zu verwendende SSL-Protokoll einigen können. Siehe unten meine Antwort, Punkt 1, der dieses Problem behandelt. Außerdem kann die Fehlerberichterstattung im Internet Explorer verbessert werden, indem Sie zu Systemsteuerung -> Internetoptionen / Registerkarte „Erweitert“ / Abschnitt „Browser“ gehen und „Freundliche HTTP-Fehlermeldungen anzeigen“ deaktivieren, auf „OK“ klicken und den Internet Explorer neu starten.

Ich empfehle die Lektüre dieses (sehr langen) Militärartikels:
EINIGE PROBLEME, DIE BEI ​​DER EINRICHTUNG IHRES CAC-LESEGERÄTS UND DER SOFTWARE AUFTRETEN KÖNNEN

Der Artikel enthält mehrere Lösungen für viele Probleme. Ich habe einige ausgewählt und festgestellt, dass die meisten Systemsteuerung -> Internetoptionen für den IE gelten, einige jedoch auch für andere Browser (Neustart des Browsers nach Änderung erforderlich).

  1. Stellen Sie unter Internetoptionen / Registerkarte „Erweitert“ / Abschnitt „Sicherheit“ sicher, dass TLS 1.0 und SSL 3.0 beide aktiviert sind und SSL 2.0 NICHT aktiviert ist. Wenn dies nicht hilft, versuchen Sie, auch SSL 2.0 zu aktivieren.
  2. Internetoptionen / Registerkarte „Sicherheit“ / „Vertrauenswürdige Sites“, ändern Sie die Standardstufe auf „Niedrig“, fügen Sie die Domäne zu „Vertrauenswürdige Sites“ hinzu. Klicken Sie außerdem auf „Internet“ und ändern Sie die Standardstufe auf „Mittel“.
  3. Leeren Sie in den Internetoptionen auf der Registerkarte „Allgemein“ den Cache, klicken Sie auf die Schaltfläche „Löschen“, setzen Sie ein Häkchen bei „Temporäre Internetdateien“ und „Cookies“ und klicken Sie auf die Schaltfläche „Löschen“.
  4. Versuchen Sie unter „Internetoptionen/Registerkarte „Erweitert“/Abschnitt „Sicherheit“, die Option „Ausführung aktiver Inhalte von CD auf dem Computer zulassen“ zu aktivieren oder zu deaktivieren.
  5. Aktivieren Sie unter „Internetoptionen/Inhalt/Zertifikate/Persönlich/Erweitert“ das Kontrollkästchen „Client-Authentifizierung“.
  6. Klicken Sie auf der Registerkarte „Internetoptionen/Sicherheit“ auf „Internet“ und deaktivieren Sie „Geschützten Modus aktivieren“.

Meine Ergänzung:Deaktivieren der verstärkten Sicherheitskonfiguration von Internet Explorer.

Informationen zu Chrome finden Sie im ArtikelIch erhalte Fehler 107.

Antwort4

Obwohl diese Antwort 5 Jahre nach der Fragestellung kommt, stieß ich auf ein Problem mit ungültigen Zertifikatsketten.

Überblick

Wenn Sie die anderen DoD-Zertifikate ordnungsgemäß installiert haben (und ich werde mich auf die nicht klassifizierte Dokumentation beziehen aufmilitärischecac.comund DoD PKE überInstallRoot ~5.0.0), können bei Ihnen, wie bei mir, widersprüchliche Zertifikatsketten auftreten.

Im Konfigurationstool für Internetoptionen (oder certmgr.mscwenn Ihnen das lieber ist) müssen Sie mehrere widersprüchliche Zertifikate entfernen. Weitere Informationen finden Sie unterBericht von MilitaryCAC, seinandere Zuschreibung(siehe die Seiten zu „schlechten Zertifikaten“) oder verwenden Sie den Cross-Certificate Remover von DoD PKE (verfügbar auf der gleichen Seite wie InstallRoot, miteinige Dokumentationen), um die "schlechten Zertifikate" zu entfernen, obwohl MilitaryCAChat festgestellt, dass das offizielle Tool mangelhaft ist:

Wenn Sie Ihre Zeit verschwenden möchten, können Sie es gerne verwenden.

Abhilfemaßnahmen

  1. Stellen Sie sicher, dass DoD-Zertifikate installiert sind (mithilfeInstallRoot 5.0.0 oder höher; Alternative:nicht-HTTPS offizielle Site; beide Pakete sind nicht richtig signiert, sollten aber trotzdem laufen)
  2. Öffnen Sie die Zertifikatsseite (Internet Explorer → Internet OptionsContentCertificatesoder certmgr.mscwenn Sie wissen, wie man es benutzt).
  3. Entfernen Sie die ungültigenZwischenzertifizierungsstellen(NICHTVertrauenswürdige Stammzertifikate)
    • DoD Interoperability Root CA 1(Exp 11/15/2019)
    • DoD Root CA 2(Exp 9/6/2019: Warum ist eine Stammzertifizierungsstelle in Zwischenzertifikaten enthalten?)
    • SHA-1 Federal Root CA G2(Exp 12/31/2019)
    • DoD Interoperability Root *something*(Exp 8/15/2019)
    • DoD Root CA 3(Exp 2/17/2019)
    • Federal Bridge CA 2016(Exp 11/8/2019)
  4. Sollte funktionieren. Eventuell nach einem Neustart.

verwandte Informationen