概述

概述

我的一位員工最近獲得了一張 CAC 卡和一個 USB 讀卡機。

閱讀器工作正常,如果我打開 IE9 並轉到“選項”>“內容”>“證書”>“個人”,我就可以看到證書。

當我造訪 DoD 網站 (Internet Explorer JPAS) 並點擊 CAC 按鈕時,會出現一個包含不同憑證的對話方塊。我選擇 DOD CA-25,輸入我的 PIN,然後網頁出現錯誤。 (Internet Explorer 沒有提供很好的錯誤報告,但我認為是錯誤 103。)

如果我在家用 PC 上重複這些相同的步驟,則使用相同的讀卡機和 CAC 一切正常。

工作上出了什麼問題?

更新:

  • Chrome給的錯誤是“錯誤107”
  • 我運行的是 Windows 7 64 位
  • 我使用 Cherry st-1044u 獲得了與廉價 cl-ud-200 63 合 1 讀卡器相同的結果;兩個閱讀器都可以在我的舊機器上完美運行

答案1

如果您的家庭瀏覽器不要求證書,那麼您可能安裝了不同的證書集。將家庭瀏覽器上安裝的 DoD 憑證與工作電腦上安裝的 DoD 憑證進行比較。還將彈出視窗中可用的憑證與家庭電腦上安裝的憑證進行比較。

您可能選擇對 CAC 有效但對網站無效的 DoD CA。 (如果 CAC 由多個 CA 簽署)

您在工作場所和家中使用同一個目標網站進行測試嗎?

如果沒有,您需要使用相同的 URL 來檢查 CAC 操作。

如果是這樣,請檢查網站的 IP 位址和憑證。該網站可能會鏡像到不同的網路上,這意味著根據您連接的位置,相同的 URL 可能會解析到不同的系統,不同的系統可能有不同的 IP 位址。

答案2

檢查瀏覽器加密設定(SSL、TLS),某些網站特別適合他們的需求。該公司可能有網站所需的停用設定。

另外,如果您從未能夠從工作中(從任何電腦)到達那裡,則您的公共 IP 可能已在 DoD 防火牆黑名單中。

答案3

我的回答是基於IE。如果其他瀏覽器上也出現這種情況,請將有關您遇到的確切錯誤和確切的瀏覽器版本(家庭和辦公室)的資訊新增到您的貼文中。

當瀏覽器和網站無法就使用的 SSL 協定達成一致時,會出現錯誤 107。請參閱下面我的回答第 1 點,它解決了這個問題。此外,可以透過前往“控制台”->“Internet 選項”/“進階”標籤/“瀏覽”部分,然後取消選取“顯示友善的HTTP 錯誤訊息”,按“確定”並重新啟動IE,來改進IE 中的錯誤報告。

我建議閱讀這篇(很長)軍事文章:
設定 CAC 閱讀器和軟體時可能會遇到的一些問題

文章包含許多問題的多種解決方案。我選擇了一些,並指出大多數“控制面板”->“Internet 選項”與 IE 相關,但有些也與其他瀏覽器相關(更改後需要重新啟動瀏覽器)。

  1. Internet 選項/進階選項卡/安全性部分,確保 TLS 1.0 和 SSL 3.0 都已選中,且未選取 SSL 2.0。如果這沒有幫助,請嘗試檢查 SSL 2.0。
  2. Internet 選項/安全性選項卡/受信任站點,將預設等級變更為低,將網域新增至受信任站點。另請按一下“Internet”並將預設等級變更為“中”。
  3. 在“Internet 選項”中,清除“常規”選項卡中的緩存,刪除...按鈕,選取“暫時 Internet 檔案”和“Cookie”,然後按一下“刪除”按鈕。
  4. 在「Internet 選項」/「進階」標籤/「安全」部分下,嘗試選取或取消選取「允許 CD 中的活動內容在我的電腦上執行」。
  5. Internet 選項/內容/憑證/個人/高級,勾選「用戶端驗證」方塊。
  6. Internet 選項/安全性選項卡,按一下 Internet 並取消選取「啟用保護模式」。

我的補充:停用 Internet Explorer 增強的安全性配置

對於 Chrome,請參閱文章我收到錯誤 107

答案4

儘管這個答案是在問題提出 5 年後才給出的,但我遇到了無效證書鏈的問題。

概述

如果您已正確安裝其他 DoD 憑證(並且我將遵循相關的非機密文件)軍事cac.com和國防部 PKE 關於安裝根~5.0.0),您可能像我一樣,有衝突的憑證鏈。

在 Internet 選項設定工具中(或certmgr.msc如果您喜歡的話),您需要刪除多個衝突的憑證。您可以參考軍事CAC的文章, 他的其他文章(請參閱「壞憑證」頁面)或使用 DoD PKE 的交叉憑證刪除程式(與 InstallRoot 位於同一頁上,並附有一些文檔)刪除“壞證書”,儘管 MilitaryCAC找到了想要的官方工具:

如果您想浪費時間,請隨意使用。

補救措施

  1. 確保已安裝 DoD 憑證(使用安裝根 5.0.0 或更高版本;選擇:非 HTTPS 官方網站;這兩個包都沒有正確簽名,但無論如何都應該運行)
  2. 開啟憑證頁面(Internet Explorer → Internet OptionsContentCertificatescertmgr.msc如果您知道如何使用它)。
  3. 刪除無效的中級證書頒發機構不是受信任的根憑證)
    • DoD Interoperability Root CA 1(經驗值11/15/2019
    • DoD Root CA 2(實驗9/6/2019;為什麼中間憑證中有根 CA?)
    • SHA-1 Federal Root CA G2(經驗值12/31/2019
    • DoD Interoperability Root *something*(經驗值8/15/2019
    • DoD Root CA 3(經驗值2/17/2019
    • Federal Bridge CA 2016(經驗值11/8/2019
  4. 應該管用。也許重啟後。

相關內容