Um dos meus funcionários adquiriu recentemente um cartão CAC e um leitor USB.
O leitor funciona bem e posso ver os certificados se abrir o IE9 e for em Opções > Conteúdo > Certificados > Pessoal.
Quando vou a um site do DoD (Internet Explorer JPAS) e clico no botão CAC, aparece uma caixa de diálogo com os diferentes certificados. Eu seleciono DOD CA-25, digito meu PIN e a página da web apresenta erros. (O Internet Explorer não fornece relatórios de erros muito bons, mas acho que foi o erro 103.)
Se eu repetir esses mesmos passos no meu PC doméstico, tudo funcionará bem com o mesmo leitor e CAC.
O que está errado no trabalho?
Atualizações:
- O erro dado pelo Chrome é “erro 107”
- Estou executando o Windows 7 de 64 bits
- Obtenho o mesmo resultado com meu Cherry st-1044u que meu leitor de cartão cl-ud-200 63 em 1 barato; ambos os leitores funcionam perfeitamente na minha máquina antiga
Responder1
Se o seu navegador doméstico não solicitar um certificado, você poderá ter um conjunto de certificados diferente instalado. Compare os certificados do DoD instalados no seu navegador inicial com aqueles instalados na máquina de trabalho. Compare também os certificados disponíveis no pop-up com os certificados instalados em sua máquina doméstica.
Você pode estar selecionando DoD CA que é válido para o CAC, mas não válido para o site. (Se o CAC for assinado por várias CAs)
Você está usando o mesmo site de destino para testar no trabalho e em casa?
Caso contrário, você precisará usar o mesmo URL para verificar a operação do CAC.
Nesse caso, verifique o endereço IP e o certificado do site. O site pode ser espelhado em redes diferentes, o que significa que dependendo de onde você se conecta, o mesmo URL pode ser resolvido para sistemas diferentes, os diferentes sistemas provavelmente terão endereços IP diferentes.
Responder2
Verifique as configurações de criptografia do navegador (SSL, TLS). Alguns sites são específicos sobre o que precisam. A empresa pode ter desativado as configurações necessárias ao site.
Além disso, se você nunca conseguiu chegar do trabalho (de qualquer máquina), talvez seu IP público esteja na lista negra de firewall do DoD.
Responder3
Minha resposta é baseada no IE. Se isso também estiver acontecendo em outros navegadores, adicione informações à sua postagem sobre o erro exato que você está encontrando e a versão exata do navegador (tanto em casa quanto no escritório).
O erro 107 ocorre quando o navegador e o site não conseguem concordar sobre o protocolo SSL a ser usado. Veja abaixo meu ponto de resposta 1, que aborda esse problema. Além disso, o relatório de erros no IE pode ser melhorado acessando Painel de Controle -> Opções da Internet / guia Avançado / seção Navegação e desmarcando "Mostrar mensagens de erro HTTP amigáveis", pressione OK e reinicie o IE.
Sugiro a leitura deste (muito longo) artigo militar:
ALGUNS PROBLEMAS QUE VOCÊ PODE TER AO CONFIGURAR SEU LEITOR E SOFTWARE CAC
O artigo contém múltiplas soluções para muitos problemas. Selecionei alguns e observei que a maior parte do Painel de Controle -> Opções da Internet pertence ao IE, mas alguns também pertencem a outros navegadores (é necessário reiniciar o navegador após a alteração).
- Opções da Internet / guia Avançado / seção Segurança, certifique-se de que TLS 1.0 e SSL 3.0 estejam marcados e SSL 2.0 NÃO marcado. Se isso não ajudar, tente também verificar o SSL 2.0.
- Opções da Internet / guia Segurança / Sites confiáveis, altere o nível padrão para baixo, adicione o domínio a Sites confiáveis. Clique também em Internet e altere o nível padrão para Médio.
- Em Opções da Internet, limpe o cache na guia Geral, botão Excluir..., marque Arquivos Temporários da Internet e Cookies e clique no botão Excluir.
- em Opções da Internet / guia Avançado / seção Segurança, tente marcar ou desmarcar "Permitir que conteúdo ativo do CD seja executado em meu computador".
- Opções de Internet / Conteúdo / Certificados / Pessoal / Avançado, marque a caixa que diz "Autenticação de Cliente".
- Na guia Opções da Internet / Segurança, clique em Internet e desmarque "Ativar modo protegido".
Minha adição:Desativando a configuração de segurança aprimorada do Internet Explorer.
Para Chrome, consulte o artigoRecebo o erro 107.
Responder4
Embora essa resposta chegue 5 anos após a pergunta ter sido feita, tive um problema com cadeias de certificados inválidas.
Visão geral
Se você instalou os outros certificados do DoD corretamente (e vou recorrer à documentação não classificada emmilitarcac.come DoD PKE sobreInstalarRoot ~5.0.0), você pode, como eu, ter cadeias de certificados conflitantes.
Na ferramenta de configuração de Opções da Internet (ou certmgr.mscse preferir), você precisa remover vários certificados conflitantes. Você pode consultarRedação do MilitaryCAC, deleoutro artigo(veja as páginas sobre "certificados ruins") ou use o removedor de certificados cruzados do DoD PKE (disponível na mesma página do InstallRoot, comalguma documentação) para remover os "certificados ruins", embora o MilitaryCACachou a ferramenta oficial querendo:
Sinta-se à vontade para usar se quiser perder seu tempo.
Etapas corretivas
- Certifique-se de que os certificados DoD estejam instalados (usandoInstallRoot 5.0.0 ou superior; alternativa:site oficial não HTTPS; ambos os pacotes estão assinados incorretamente, mas devem ser executados de qualquer maneira)
- Abra a página de certificados (Internet Explorer →
Internet Options→Content→Certificatesoucertmgr.mscse você souber usá-lo). - Remova o inválidoAutoridades de certificação intermediárias(NÃOCertificados raiz confiáveis)
DoD Interoperability Root CA 1(Exp11/15/2019)DoD Root CA 2(Exp9/6/2019; por que uma CA raiz está em certificados intermediários?)SHA-1 Federal Root CA G2(Exp12/31/2019)DoD Interoperability Root *something*(Exp8/15/2019)DoD Root CA 3(Exp2/17/2019)Federal Bridge CA 2016(Exp11/8/2019)
- Deveria trabalhar. Talvez depois de reiniciar.