我的一名员工最近获得了一张 CAC 卡和一个 USB 读卡器。
阅读器工作正常,如果我打开 IE9 并转到“选项”>“内容”>“证书”>“个人”,我就可以看到证书。
当我访问国防部网站 (Internet Explorer JPAS) 并单击 CAC 按钮时,会出现一个对话框,其中包含不同的证书。我选择 DOD CA-25,输入我的 PIN,然后网页出现错误。(Internet Explorer 的错误报告不太好,但我认为是错误 103。)
如果我从家里的电脑上重复这些相同的步骤,使用相同的阅读器和 CAC 一切都能正常工作。
工作上出了什么问题?
更新:
- Chrome 给出的错误是“错误 107”
- 我正在运行 Windows 7 64 位
- 我使用 Cherry st-1044u 和便宜的 cl-ud-200 63 合 1 读卡器获得的结果相同;这两款读卡器在我的旧机器上都能完美运行
答案1
如果您的家庭浏览器不要求证书,那么您可能安装了不同的证书集。将家庭浏览器上安装的 DoD 证书与工作机器上安装的证书进行比较。同时将弹出窗口中提供的证书与家庭机器上安装的证书进行比较。
您选择的 DoD CA 可能对 CAC 有效,但对网站无效。(如果 CAC 由多个 CA 签名)
您是否使用相同的目标网站在工作和在家进行测试?
如果没有,您需要使用相同的 URL 来检查 CAC 操作。
如果是,请检查网站的 IP 地址和证书。该网站可能在不同的网络上有镜像,这意味着根据您连接的位置,相同的 URL 可能会解析到不同的系统,不同的系统可能有不同的 IP 地址。
答案2
检查浏览器加密设置(SSL、TLS),有些网站对其需要的内容有特殊要求。公司可能已禁用网站所需的设置。
此外,如果您从未能够从工作地点(使用任何机器)访问那里,也许您的公共 IP 在国防部防火墙黑名单上。
答案3
我的回答是基于 IE 的。如果其他浏览器也出现这种情况,请在您的帖子中添加您遇到的确切错误和确切浏览器版本(家庭版和办公室版)的信息。
当浏览器和网站无法就要使用的 SSL 协议达成一致时,就会发生错误 107。请参阅下面我的回答第 1 点,其中解决了此问题。此外,可以通过转到控制面板 -> Internet 选项/高级选项卡/浏览部分,取消选中“显示友好 HTTP 错误消息”,按确定并重新启动 IE,来改进 IE 中的错误报告。
我建议阅读这篇(很长的)军事文章:
设置 CAC 阅读器和软件时可能会遇到的一些问题
本文包含许多问题的多种解决方案。我选择了一些,并指出大多数控制面板 -> Internet 选项适用于 IE,但有些也适用于其他浏览器(更改后需要重新启动浏览器)。
- Internet 选项 / 高级选项卡 / 安全部分,确保 TLS 1.0 和 SSL 3.0 均已选中,并且未选中 SSL 2.0。如果这没有帮助,请尝试检查 SSL 2.0。
- Internet 选项 / 安全选项卡 / 受信任的站点,将默认级别更改为低,将域添加到受信任的站点。单击 Internet 并将默认级别更改为中。
- 在“Internet 选项”中,清除“常规”选项卡中的缓存,单击“删除...”按钮,勾选“Internet 临时文件”和“Cookie”,然后单击“删除”按钮。
- 在 Internet 选项/高级选项卡/安全部分下,尝试选中或取消选中“允许 CD 中的活动内容在我的计算机上运行”。
- Internet 选项/内容/证书/个人/高级,选中“客户端身份验证”框。
- Internet 选项/安全选项卡,单击 Internet 并取消选中“启用保护模式”。
我的补充:禁用 Internet Explorer 增强的安全配置。
对于 Chrome,请参阅文章我收到错误 107。
答案4
尽管这个问题提出五年后才得到答案,但我还是遇到了无效证书链的问题。
概述
如果你已经正确安装了其他 DoD 证书(我将参考非机密文档militarycac.com和 DoD PKE 关于安装根 ~5.0.0),您可能和我一样,拥有冲突的证书链。
在 Internet 选项配置工具中(或者certmgr.msc
如果您喜欢),您需要删除几个有冲突的证书。您可以参考MilitaryCAC 的报道, 他的其他文章(请参阅“坏证书”页面)或使用 DoD PKE 的交叉证书移除器(与 InstallRoot 在同一页面上可用,一些文档)删除“坏证书”,尽管 MilitaryCAC发现官方工具存在缺陷:
如果您想浪费时间,请随意使用。
补救措施
- 确保安装了 DoD 证书(使用InstallRoot 5.0.0 或更高版本; 选择:非HTTPS官方网站;两个包都没有正确签名,但无论如何都应该运行)
- 打开证书页面(Internet Explorer →
Internet Options
→Content
→Certificates
或者certmgr.msc
如果您知道如何使用它)。 - 删除无效的中级证书颁发机构(不是受信任的根证书
DoD Interoperability Root CA 1
(经验值11/15/2019
)DoD Root CA 2
(Exp9/6/2019
;为什么根 CA 位于中间证书中?)SHA-1 Federal Root CA G2
(经验值12/31/2019
)DoD Interoperability Root *something*
(经验值8/15/2019
)DoD Root CA 3
(经验值2/17/2019
)Federal Bridge CA 2016
(经验值11/8/2019
)
- 应该可以。可能需要重启后才能用。