CAC funktioniert nicht; Chrome gibt "Fehler 107"

4164
Crash893

Einer meiner Mitarbeiter hat kürzlich eine CAC-Karte und einen USB-Leser erhalten.

Der Reader funktioniert einwandfrei und ich kann die Zertifikate sehen, wenn ich IE9 öffne und zu Optionen> Inhalt> Zertifikate> Persönlich gehe.

Wenn ich zu einer DoD-Website (Internet Explorer JPAS) gehe und auf die Schaltfläche CAC klicke, wird ein Dialog mit den verschiedenen Zertifikaten angezeigt. Ich wähle DOD CA-25 aus, gebe meine PIN ein und dann die Webseitenfehler aus. (Internet Explorer gibt keine sehr gute Fehlerberichterstattung aus, aber ich denke, es war Fehler 103.)

Wenn ich dieselben Schritte von meinem Heim-PC aus wiederhole, funktioniert alles mit demselben Leser und CAC.

Was läuft bei der Arbeit falsch?

Aktualisierung:

  • Der von Chrome angegebene Fehler ist "Fehler 107".
  • Ich verwende Windows 7 64-Bit
  • Ich bekomme mit meinem Cherry st-1044u dasselbe Ergebnis wie mein billiger cl-ud-200 63-in-1-Kartenleser; Beide Leser arbeiten perfekt an meiner alten Maschine
1
Wenn Sie ein DoD-Auftragnehmer in den USA sind, überprüfen Sie Ihren DD254-Block 11 bezüglich Betriebssicherheit. Sie kann Leitlinien für die Erörterung von Betriebsfragen mit der Öffentlichkeit bereitstellen. Ich bin der Meinung, dass das Versenden von Informationen auf dieser Website als allgemeine Öffentlichkeit betrachtet wird, da sie allgemein zugänglich ist. Wenn Ihr DD254 keine Anleitungen enthält, empfehle ich Ihnen, Ihr FSO oder einen zuständigen Vertreter um Rat zu bitten, welche operativen Fragen in einem offenen Forum erörtert werden können. this.josh vor 12 Jahren 6
Es gibt keinen http-Statuscode 103: http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html Sollte ein Fehler 403 auftreten, wenn Ihre Authentifizierung nicht funktioniert. Kannst du es mit einem anderen Browser auf dem Laptop versuchen? user56969 vor 12 Jahren 0
@ this.josh Es ist schlimmer als das. Es ist nicht nur "allgemeine Öffentlichkeit", wenn man bedenkt, wie stark diese Websites in Google indiziert sind, sondern auch das Posting selbst ist CC BY-SA 3.0 lizenziert. Scott Pack vor 12 Jahren 0
Update Der Fehler ist "Fehler 107 net :: ERR SSL PROTOKOLLFEHLER SSL-Protokollfehler Crash893 vor 12 Jahren 0

5 Antworten auf die Frage

1
Scott McClenning

Überprüfen Sie die Browser-Kryptoeinstellungen (SSL, TLS), die für bestimmte Websites relevant sind. Das Unternehmen verfügt möglicherweise über deaktivierte Einstellungen, die die Website benötigt.

Auch wenn Sie noch nie von Ihrem Arbeitsplatz dorthin gelangen konnten (von einem beliebigen Computer aus), steht Ihre öffentliche IP-Adresse möglicherweise auf der schwarzen Liste der DoD-Firewall.

Es wurde vom selben Standort aus gemacht, also war die IP-Adresse gleich. Es ist eine Standardinstallation von IE9 (ich habe auch Standard Chrome und Firefox ausprobiert) Crash893 vor 12 Jahren 0
Dies ist ein Basis-Build von Win7 64bit, dh 9 (sowohl 32 als auch 64) und Chrome 13 funktionieren nicht Crash893 vor 12 Jahren 0
1
this.josh

If your home browser doesn't ask for a cert, then you may have a different cert set installed. Compare the DoD certs installed on your home browser to those installed on the work machine. Also compare the certs available on the popup to the certs installed on your home machine.

You may be selecting DoD CA that is valid for the CAC but not valid for the website. (If the CAC is signed by multiple CAs)

Are you using the same destination website to test at work and at home?

If not you need to use the same URL to check the CAC operation.

If so check the site's IP address and certificate. The site may be mirrored on different networks, meaning that depending on where you connect from, the same URL may resolve to different systems, the different systems would likely have different IP addresses.

Der Home-Browser fragt nach einem Zertifikat auf dieselbe Weise wie das betreffende Notebook. Crash893 vor 12 Jahren 0
@Crash - Das hört sich nicht richtig an. Es ist nichts Besonderes an IE9 oder Win 7, wenn es um CAC-Karten geht. Ramhound vor 12 Jahren 0
Ich glaube nicht, dass ich mich daran erinnere, dass ich etwas Besonderes für meine anderen Maschinen getan habe, außer die Zertifikate der vertrauenswürdigen Stammberechtigung zu aktualisieren. Crash893 vor 12 Jahren 0
@ Crash893 Haben Sie auf beiden Rechnern dieselbe Version von InstallRoot verwendet? this.josh vor 12 Jahren 0
1
harrymc

Meine Antwort basiert auf IE. Wenn dies auch bei anderen Browsern der Fall ist, fügen Sie Ihrem Post die Informationen zum genauen Fehler und zur genauen Browserversion (zu Hause und im Büro) hinzu.

Der Fehler 107 tritt auf, wenn der Browser und die Website sich nicht auf das zu verwendende SSL-Protokoll einigen können. Siehe unten meinen Antwortpunkt 1, der dieses Problem anspricht. Die Fehlerberichterstattung im IE kann auch verbessert werden, indem Sie Systemsteuerung -> Internetoptionen / Registerkarte Erweitert / Abschnitt Durchsuchen auswählen und die Option "Zeige HTTP-Fehlermeldungen anzeigen" deaktivieren. Drücken Sie OK und starten Sie den IE neu.

Ich schlage vor, diesen (sehr langen) Militärartikel zu lesen:
EINIGE PROBLEME, DIE SIE BEI ​​DER EINSTELLUNG IHRES CAC-LESERS UND SOFTWARE ERHALTEN KÖNNEN

Der Artikel enthält mehrere Lösungen für viele Probleme. Ich habe einige ausgewählt und bemerkt, dass die meisten Systemsteuerung -> Internetoptionen sich auf IE beziehen, einige jedoch auch auf andere Browser (Neustart des Browsers nach Änderung erforderlich).

  1. Stellen Sie sicher, dass TLS 1.0 und SSL 3.0 aktiviert sind und SSL 2.0 NICHT aktiviert ist. Wenn dies nicht hilft, überprüfen Sie auch SSL 2.0.
  2. Internetoptionen / Registerkarte "Sicherheit" / Vertrauenswürdige Sites, ändern Sie die Standardstufe in "Niedrig". Fügen Sie die Domäne den vertrauenswürdigen Sites hinzu. Klicken Sie auch auf Internet und ändern Sie die Standardstufe in Mittel.
  3. Löschen Sie in den Internetoptionen den Cache auf der Registerkarte Allgemein, Löschen ..., markieren Sie Temporäre Internetdateien und Cookies und klicken Sie auf die Schaltfläche Löschen.
  4. Aktivieren oder deaktivieren Sie unter Internetoptionen / Registerkarte "Erweitert" / "Sicherheit" die Option "Aktiven Inhalt von CD auf meinem Computer ausführen".
  5. Internetoptionen / Inhalt / Zertifikate / Persönlich / Erweitert, aktivieren Sie das Kontrollkästchen "Client-Authentifizierung".
  6. Klicken Sie auf der Registerkarte Internetoptionen / Sicherheit auf Internet und deaktivieren Sie die Option "Geschützten Modus aktivieren".

Mein Zusatz: Deaktivieren der Sicherheitskonfiguration für Internet Explorer .

Für Chrome siehe den Artikel Ich erhalte den Fehler 107 .

Noch nicht bestätigt, aber beste Antwort noch nicht. Nach 3 Stunden erhalten Sie die +50. Ich werde später berichten, ob es funktioniert oder nicht. Crash893 vor 12 Jahren 0
** Vermeiden Sie ** die Deaktivierung von SSL 3.0 in allen Fällen. SSL 3.0 ist * unsicher * im Anschluss an [eine Sicherheitsanfälligkeit, die Google im Jahr 2014 gefunden hat] (http://disablessl3.com/). Die gängigen DoD-Sites, die ich kenne, verwenden * SSL 3.0 nicht, und die Aktivierung * macht Ihren Computer anfällig für Man-in-the-Middle-Angriffe. citelao vor 6 Jahren 0
1
Crash893

Okay, hier ist was passiert ist. Ich habe nie herausgefunden, was die Ursache des Problems war, aber aus einer Laune heraus habe ich ein neues Benutzerprofil auf demselben Computer erstellt. In dieses Profil eingeloggt und es wirkt wie ein Zauber.

Ich weiß nicht warum, aber das Problem wurde behoben.

Vielen Dank für alle, die geholfen haben

0
citelao

Obwohl diese Antwort fünf Jahre nach der Frage gestellt wurde, stieß ich auf ein Problem mit ungültigen Zertifikatsketten.

Überblick

Wenn Sie die anderen DoD-Zertifikate ordnungsgemäß installiert haben (und ich auf die nicht klassifizierte Dokumentation von militarycac.com und DoD PKE über InstallRoot ~ 5.0.0 zurückgreife ), verfügen Sie möglicherweise wie ich über widersprüchliche Zertifikatketten.

Im Konfigurationstool für Internetoptionen (oder certmgr.mscwenn Sie möchten), müssen Sie mehrere in Konflikt stehende Zertifikate entfernen. Sie können sich auf die Aufzeichnungen von MilitaryCAC, seine anderen Aufzeichnungen (siehe die Seiten zu "bad certs") beziehen, oder den Cross-Certificate-Entferner von DoD PKE (auf derselben Seite wie InstallRoot mit einigen Dokumentationen verfügbar ) verwenden, um die "bad certs" zu entfernen MilitaryCAC hat das offizielle Tool gefunden :

Fühlen Sie sich frei, wenn Sie Ihre Zeit verschwenden wollen.

Abhilfemaßnahmen

  1. Stellen Sie sicher, dass DoD-Zertifikate installiert sind (mithilfe von InstallRoot 5.0.0 oder höher ; Alternative: Nicht-HTTPS-offizielle Site ; beide Pakete sind nicht ordnungsgemäß signiert, sollten jedoch trotzdem ausgeführt werden.)
  2. Öffnen Sie die Zertifikate Seite (Internet Explorer → Internet OptionsContentCertificatesoder certmgr.mscwenn Sie wissen, wie es zu benutzen).
  3. Entfernen Sie die ungültigen Zwischenzertifizierungsstellen ( NICHT vertrauenswürdige Stammzertifikate).
    • DoD Interoperability Root CA 1(Exp 11/15/2019)
    • DoD Root CA 2(Exp 9/6/2019; Warum ist eine Stammzertifizierungsstelle in Zwischenzertifikaten?)
    • SHA-1 Federal Root CA G2(Exp 12/31/2019)
    • DoD Interoperability Root *something*(Exp 8/15/2019)
    • DoD Root CA 3(Exp 2/17/2019)
    • Federal Bridge CA 2016(Exp 11/8/2019)
  4. Sollte arbeiten. Vielleicht nach einem Neustart.

Verwandte Probleme