Uno de mis empleados adquirió recientemente una tarjeta CAC y un lector USB.
El lector funciona bien y puedo ver los certificados si abro IE9 y voy a Opciones > Contenido > Certificados > Personal.
Cuando voy a un sitio web del Departamento de Defensa (Internet Explorer JPAS) y hago clic en el botón CAC, aparece un cuadro de diálogo con los diferentes certificados. Selecciono DOD CA-25, escribo mi PIN y luego aparece el error en la página web. (Internet Explorer no proporciona muy buenos informes de errores, pero creo que fue el error 103).
Si repito estos mismos pasos desde la PC de mi casa, todo funciona bien con el mismo lector y CAC.
¿Qué pasa en el trabajo?
Actualizaciones:
- El error dado por Chrome es "error 107"
- Estoy ejecutando Windows 7 de 64 bits
- Obtengo el mismo resultado con mi Cherry st-1044u que con mi lector de tarjetas barato cl-ud-200 63 en 1; Ambos lectores funcionan perfectamente en mi vieja máquina.
Respuesta1
Si el navegador de su hogar no solicita un certificado, es posible que tenga instalado un conjunto de certificados diferente. Compare los certificados del Departamento de Defensa instalados en el navegador de su hogar con los instalados en la máquina del trabajo. También compare los certificados disponibles en la ventana emergente con los certificados instalados en su máquina doméstica.
Es posible que esté seleccionando una CA del Departamento de Defensa que sea válida para la CAC pero no válida para el sitio web. (Si el CAC está firmado por varias CA)
¿Estás utilizando el mismo sitio web de destino para realizar la prueba en el trabajo y en casa?
De lo contrario, deberá utilizar la misma URL para comprobar el funcionamiento del CAC.
Si es así, verifique la dirección IP y el certificado del sitio. El sitio puede estar reflejado en diferentes redes, lo que significa que dependiendo de dónde se conecte, la misma URL puede resolverse en diferentes sistemas y es probable que los diferentes sistemas tengan diferentes direcciones IP.
Respuesta2
Verifique la configuración de cifrado del navegador (SSL, TLS). Algunos sitios son específicos sobre lo que necesitan. Es posible que la empresa haya desactivado la configuración que necesita el sitio.
Además, si nunca ha podido llegar desde el trabajo (desde cualquier máquina), tal vez su IP pública esté en la lista negra del firewall del Departamento de Defensa.
Respuesta3
Mi respuesta se basa en IE. Si esto también sucede en otros navegadores, agregue la información a su publicación sobre el error exacto que está encontrando y la versión exacta del navegador (tanto en el hogar como en la oficina).
El error 107 ocurre cuando el navegador y el sitio web no pueden ponerse de acuerdo sobre el protocolo SSL a utilizar. Vea a continuación mi punto de respuesta 1 que aborda este problema. Además, el informe de errores en IE se puede mejorar yendo al Panel de control -> Opciones de Internet/pestaña Avanzado/sección Navegación y desmarcando "Mostrar mensajes de error HTTP amigables", presione Aceptar y reinicie IE.
Sugiero leer este (muy largo) artículo militar:
ALGUNOS PROBLEMAS QUE PUEDE RECIBIR AL CONFIGURAR SU LECTOR Y SOFTWARE CAC
El artículo contiene múltiples soluciones a muchos problemas. Seleccioné algunos y observé que la mayoría del Panel de control -> Opciones de Internet pertenecen a IE, pero que algunas también pertenecen a otros navegadores (es necesario reiniciar el navegador después del cambio).
- Opciones de Internet/pestaña Avanzado/sección Seguridad, asegúrese de que TLS 1.0 y SSL 3.0 estén marcados y que SSL 2.0 NO esté marcado. Si esto no ayuda, intente comprobar también SSL 2.0.
- Opciones de Internet/pestaña Seguridad/Sitios de confianza, cambie el nivel predeterminado a bajo, agregue el dominio a Sitios de confianza. También haga clic en Internet y cambie el nivel predeterminado a Medio.
- En Opciones de Internet, borre el caché en la pestaña General, botón Eliminar..., coloque una marca de verificación en Archivos temporales de Internet y en Cookies y haga clic en el botón Eliminar.
- En Opciones de Internet/pestaña Avanzado/sección Seguridad, intente marcar o desmarcar "Permitir que el contenido activo del CD se ejecute en Mi computadora".
- Opciones de Internet/Contenido/Certificados/Personal/Avanzado, marque la casilla que dice "Autenticación de Cliente".
- En la pestaña Opciones de Internet/Seguridad, haga clic en Internet y desmarque "Habilitar modo protegido".
Mi adición:Deshabilitar la configuración de seguridad mejorada de Internet Explorer.
Para Chrome, consulte el artículo.Recibo el error 107.
Respuesta4
Aunque esta respuesta llega 5 años después de que se hiciera la pregunta, me encontré con un problema con cadenas de certificados no válidas.
Descripción general
Si ha instalado los otros certificados del Departamento de Defensa correctamente (y me remitiré a la documentación no clasificada enmilitarcac.comy DoD PKE sobreInstalar raíz ~5.0.0), es posible que, como yo, tenga cadenas de certificados en conflicto.
En la herramienta de configuración de Opciones de Internet (o certmgr.msc
si así lo prefiere), debe eliminar varios certificados en conflicto. Puedes referirte aInforme de MilitaryCAC, suotro artículo(consulte las páginas sobre "certificados incorrectos") o utilice el eliminador de certificados cruzados de DoD PKE (disponible en la misma página que InstallRoot, conalguna documentacion) para eliminar los "certificados incorrectos", aunque MilitaryCACha encontrado que la herramienta oficial le falta:
Siéntete libre de usarlo si quieres perder el tiempo.
Pasos correctivos
- Asegúrese de que los certificados del Departamento de Defensa estén instalados (usandoInstallRoot 5.0.0 o superior; alternativa:sitio oficial no HTTPS; ambos paquetes están firmados incorrectamente, pero deberían ejecutarse de todos modos)
- Abra la página de certificados (Internet Explorer →
Internet Options
→Content
→Certificates
ocertmgr.msc
si sabe cómo usarlo). - Eliminar lo inválidoAutoridades de certificación intermedias(NOCertificados raíz de confianza)
DoD Interoperability Root CA 1
(Exp11/15/2019
)DoD Root CA 2
(Exp9/6/2019
; ¿por qué hay una CA raíz en certificados intermedios?)SHA-1 Federal Root CA G2
(Exp12/31/2019
)DoD Interoperability Root *something*
(Exp8/15/2019
)DoD Root CA 3
(Exp2/17/2019
)Federal Bridge CA 2016
(Exp11/8/2019
)
- Deberia trabajar. Quizás después de un reinicio.