1

Один из моих сотрудников недавно получил CAC-карту и USB-ридер.

Считыватель работает нормально, и я могу увидеть сертификаты, если открою IE9 и зайду в Параметры> Содержимое> Сертификаты> Личные.

Когда я захожу на сайт DoD (Internet Explorer JPAS) и нажимаю кнопку CAC, появляется диалоговое окно с различными сертификатами. Я выбираю DOD CA-25, набираю свой PIN-код, а затем на веб-странице появляются ошибки. (Internet Explorer не дает очень хороших отчетов об ошибках, но я думаю, что это ошибка 103.)

Если я повторяю эти же шаги со своего домашнего ПК, все работает нормально с тем же ридером и CAC.

Что происходит на работе?

Обновления:

  • Chrome сообщает об ошибке "ошибка 107"
  • Я использую Windows 7 64-bit
  • С моим Cherry st-1044u я получаю тот же результат, что и мой дешевый карт-ридер cl-ud-200 63-в-1; оба читателя отлично работают на моей старой машине
|источник

5 ответов5

1

Мой ответ основан на IE. Если это также происходит в других браузерах, добавьте в свой пост информацию о точной ошибке, с которой вы столкнулись, и точную версию браузера (как для дома, так и для офиса).

Ошибка 107 возникает, когда браузер и веб-сайт не могут согласовать протокол SSL для использования. Смотрите ниже мой ответ пункт 1, который решает эту проблему. Кроме того, отчеты об ошибках в IE можно улучшить, перейдя в Панель управления -> Свойства обозревателя / Вкладка "Дополнительно" / Раздел просмотра и сняв флажок "Показать дружественные сообщения об ошибках HTTP", нажмите OK и перезапустите IE.

Я предлагаю прочитать эту (очень длинную) военную статью:
НЕКОТОРЫЕ ПРОБЛЕМЫ, КОТОРЫЕ ВЫ МОЖЕТЕ ПОЛУЧИТЬ, ПОСТАВЛЯЯ СВОЙ ЧИТАТЕЛЬ CAC И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Статья содержит несколько решений многих проблем. Я выбрал некоторые и заметил, что большинство Панели управления -> Свойства обозревателя относятся к IE, но некоторые также относятся к другим браузерам (после изменения требуется перезапуск браузера).

  1. Свойства обозревателя / вкладка "Дополнительно" / раздел "Безопасность", убедитесь, что оба TLS 1.0 и SSL 3.0 отмечены, а SSL 2.0 НЕ проверен. Если это не помогает, попробуйте также проверить SSL 2.0.
  2. Свойства обозревателя / вкладка "Безопасность" / "Доверенные сайты", измените уровень по умолчанию на низкий, добавьте домен в "Доверенные сайты". Также нажмите "Интернет" и измените уровень по умолчанию на "Средний".
  3. В окне "Свойства обозревателя" очистите кэш на вкладке "Общие", нажмите кнопку «Удалить ...», установите флажок "Временные файлы Интернета и файлы cookie" и нажмите кнопку "Удалить".
  4. в разделе "Свойства обозревателя" / "Дополнительно" / "Безопасность" попробуйте установить или снять флажок «Разрешить запуск активного содержимого с компакт-диска на Моем компьютере».
  5. Свойства обозревателя / Содержание / Сертификаты / Личные / Дополнительно, установите флажок "Аутентификация клиента".
  6. Свойства обозревателя / вкладка "Безопасность", нажмите "Интернет" и снимите флажок "Включить защищенный режим".

Мое дополнение: отключение конфигурации усиленной безопасности Internet Explorer.

Что касается Chrome, см. Статью « Я получаю сообщение об ошибке 107».

|источник
1

Хорошо, вот что случилось. Я никогда не выяснял причину проблемы, но по какой-то причине я создал новый профиль пользователя на том же компьютере. Войдите в этот профиль, и он работает как шарм.

не знаю почему, но это решило проблему.

Спасибо всем, кто помог

|источник
1

Проверьте настройки шифрования браузера (SSL, TLS), некоторые сайты нуждаются в них. Компания может отключить настройки, необходимые для сайта.

Кроме того, если вам никогда не удавалось попасть туда с работы (с любой машины), возможно, ваш публичный IP-адрес находится в черном списке брандмауэра DoD.

|источник
1

Если ваш домашний браузер не запрашивает сертификат, возможно, у вас установлен другой набор сертификатов. Сравните сертификаты DoD, установленные в домашнем браузере, с сертификатами, установленными на рабочем компьютере. Также сравните сертификаты, доступные во всплывающем окне, с сертификатами, установленными на вашем домашнем компьютере.

Возможно, вы выбираете DoD CA, который действителен для CAC, но не действителен для веб-сайта. (Если CAC подписан несколькими CA)

Используете ли вы один и тот же сайт назначения для тестирования на работе и дома?

Если нет, вам нужно использовать тот же URL для проверки работы CAC.

Если это так, проверьте IP-адрес сайта и сертификат. Сайт может быть зеркально отображен в разных сетях. Это означает, что в зависимости от того, откуда вы подключаетесь, один и тот же URL-адрес может разрешаться для разных систем, и разные системы могут иметь разные IP-адреса.

|источник
0

Хотя этот ответ приходит через 5 лет после того, как вопрос был задан, у меня возникла проблема с неверными цепочками сертификатов.

обзор

Если вы правильно установили другие сертификаты DoD (и я буду ссылаться на неклассифицированную документацию на militarycac.com и DoD PKE о InstallRoot ~ 5.0.0), вы, как и я, можете иметь конфликтующие цепочки сертификатов.

В инструменте настройки параметров Интернета (или certmgr.msc если вам это нужно) вам необходимо удалить несколько конфликтующих сертификатов. Вы можете сослаться на рецензию MilitaryCAC, другую его рецензию (см. Страницы "плохие сертификаты") или использовать средство удаления перекрестных сертификатов DoD PKE (доступно на той же странице, что и InstallRoot, с некоторой документацией), чтобы удалить "плохие сертификаты", хотя MilitaryCAC нашел официальный инструмент, желающий:

Не стесняйтесь использовать, если вы хотите тратить свое время.

Лечебные Шаги

  1. Убедитесь, что установлены сертификаты DoD (используя InstallRoot 5.0.0 или более поздней версии ; альтернатива: официальный сайт , не поддерживающий HTTPS ; оба пакета подписаны неправильно, но все равно должны работать)
  2. Откройте страницу сертификатов (Internet Explorer → Internet OptionsContentCertificates или certmgr.msc если вы знаете, как его использовать).
  3. Удалите недопустимые промежуточные центры сертификации (НЕ доверенные корневые сертификаты)
    • DoD Interoperability Root CA 1 (Exp 11/15/2019)
    • DoD Root CA 2 (Exp 9/6/2019 ; почему корневая CA в промежуточных сертификатах?)
    • SHA-1 Federal Root CA G2 (Exp 12/31/2019)
    • DoD Interoperability Root *something* (Exp 8/15/2019)
    • DoD Root CA 3 (Exp 2/17/2019)
    • Federal Bridge CA 2016 (Exp 11/8/2019)
  4. Должно сработать. Может быть, после перезагрузки.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .