Один из моих сотрудников недавно получил карту CAC и USB-ридер.
Считыватель работает нормально, и я могу увидеть сертификаты, если открою IE9 и перейду в Параметры > Содержимое > Сертификаты > Личные.
Когда я захожу на сайт DoD (Internet Explorer JPAS) и нажимаю кнопку CAC, появляется диалоговое окно с различными сертификатами. Я выбираю DOD CA-25, ввожу свой PIN-код, а затем веб-страница выдает ошибку. (Internet Explorer не очень хорошо выдает отчеты об ошибках, но я думаю, что это была ошибка 103.)
Если я повторю эти же действия с домашнего ПК, все будет работать нормально с тем же считывателем и CAC.
Что не так на работе?
Обновления:
- Ошибка, выдаваемая Chrome, — «ошибка 107».
- Я использую Windows 7 64-бит.
- Я получаю тот же результат с моим Cherry st-1044u, что и с моим дешевым картридером cl-ud-200 63-в-1; оба ридера отлично работают на моем старом компьютере.
решение1
Если ваш домашний браузер не запрашивает сертификат, возможно, у вас установлен другой набор сертификатов. Сравните сертификаты DoD, установленные в вашем домашнем браузере, с теми, которые установлены на рабочей машине. Также сравните сертификаты, доступные во всплывающем окне, с сертификатами, установленными на вашей домашней машине.
Возможно, вы выбираете DoD CA, который действителен для CAC, но не действителен для веб-сайта. (Если CAC подписан несколькими CA)
Используете ли вы один и тот же целевой сайт для тестирования на работе и дома?
В противном случае вам необходимо использовать тот же URL-адрес для проверки работы CAC.
Если это так, проверьте IP-адрес и сертификат сайта. Сайт может быть зеркалирован в разных сетях, что означает, что в зависимости от того, откуда вы подключаетесь, один и тот же URL может разрешаться в разных системах, разные системы, вероятно, будут иметь разные IP-адреса.
решение2
Проверьте настройки шифрования браузера (SSL, TLS), некоторые сайты конкретны в том, что им нужно. Компания может отключить настройки, необходимые сайту.
Кроме того, если вы ни разу не смогли попасть туда с работы (с любого компьютера), возможно, ваш публичный IP-адрес находится в черном списке брандмауэра Министерства обороны США.
решение3
Мой ответ основан на IE. Если это происходит и в других браузерах, пожалуйста, добавьте в свой пост информацию о точной ошибке, с которой вы столкнулись, и точной версии браузера (как на домашнем, так и на офисном компьютере).
Ошибка 107 возникает, когда браузер и веб-сайт не могут договориться об используемом протоколе SSL. Ниже см. мой ответ на пункт 1, который решает эту проблему. Кроме того, отчеты об ошибках в IE можно улучшить, перейдя в Панель управления -> Свойства обозревателя / вкладка Дополнительно / раздел Просмотр и сняв флажок «Показывать дружественные сообщения об ошибках HTTP», нажмите OK и перезапустите IE.
Предлагаю прочитать эту (очень длинную) военную статью:
НЕКОТОРЫЕ ПРОБЛЕМЫ, КОТОРЫЕ МОГУТ ВОЗНИКНУТЬ ПРИ НАСТРОЙКЕ СЧИТЫВАТЕЛЯ CAC И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Статья содержит несколько решений многих проблем. Я выбрал некоторые и заметил, что большинство Панель управления -> Свойства обозревателя относится к IE, но некоторые также относятся к другим браузерам (после изменения требуется перезапуск браузера).
- Свойства обозревателя / вкладка «Дополнительно» / раздел «Безопасность», убедитесь, что TLS 1.0 и SSL 3.0 отмечены, а SSL 2.0 НЕ отмечен. Если это не помогает, попробуйте также проверить SSL 2.0.
- Свойства обозревателя / вкладка Безопасность / Надежные узлы, измените уровень по умолчанию на низкий, добавьте домен в Надежные узлы. Также нажмите Интернет и измените уровень по умолчанию на Средний.
- В окне «Свойства обозревателя» очистите кэш на вкладке «Общие», нажмите кнопку «Удалить...», установите флажки «Временные файлы Интернета» и «Файлы cookie» и нажмите кнопку «Удалить».
- В разделе «Свойства обозревателя» / вкладка «Дополнительно» / раздел «Безопасность» попробуйте установить или снять флажок «Разрешить запуск активного содержимого с компакт-диска на моем компьютере».
- Свойства обозревателя / Содержимое / Сертификаты / Личные / Дополнительно, установите флажок «Аутентификация клиента».
- На вкладке «Свойства обозревателя»/«Безопасность» нажмите «Интернет» и снимите флажок «Включить защищенный режим».
Мое дополнение:Отключение конфигурации усиленной безопасности Internet Explorer.
Для Chrome см. статьюЯ получаю ошибку 107.
решение4
Хотя этот ответ появился спустя 5 лет после того, как был задан вопрос, я столкнулся с проблемой недействительных цепочек сертификатов.
Обзор
Если вы правильно установили другие сертификаты DoD (и я буду ссылаться на несекретную документацию поmilitarycac.comи DoD PKE оУстановитьRoot ~5.0.0), у вас, как и у меня, могут быть конфликтующие цепочки сертификатов.
В инструменте настройки Internet Options (или certmgr.mscесли вам так больше нравится) вам нужно удалить несколько конфликтующих сертификатов. Вы можете обратиться кРецензия MilitaryCAC, егодругая статья(см. страницы о «плохих сертификатах») или используйте средство удаления кросс-сертификатов DoD PKE (доступно на той же странице, что и InstallRoot, снекоторая документация) для удаления "плохих сертификатов", хотя MilitaryCACнашел официальный инструмент недостаточным:
Если вы не хотите тратить время, смело пользуйтесь.
Меры по исправлению положения
- Убедитесь, что установлены сертификаты DoD (с помощьюInstallRoot 5.0.0 или выше; альтернатива:официальный сайт не HTTPS; оба пакета неправильно подписаны, но должны работать в любом случае)
- Откройте страницу сертификатов (Internet Explorer →
Internet Options→Content→Certificatesилиcertmgr.mscесли вы знаете, как им пользоваться). - Удалить недействительныйПромежуточные центры сертификации(НЕТДоверенные корневые сертификаты)
DoD Interoperability Root CA 1(Опыт11/15/2019)DoD Root CA 2(Эксп9/6/2019.: почему корневой центр сертификации присутствует в промежуточных сертификатах?)SHA-1 Federal Root CA G2(Опыт12/31/2019)DoD Interoperability Root *something*(Опыт8/15/2019)DoD Root CA 3(Опыт2/17/2019)Federal Bridge CA 2016(Опыт11/8/2019)
- Должно работать. Возможно, после перезагрузки.