CAC não está funcionando; Chrome dá "erro 107"

1

Um dos meus funcionários recentemente adquiriu um cartão CAC e um leitor USB.

O leitor funciona bem e posso ver os certificados se abrir o IE9 e ir para Opções> Conteúdo> Certificados> Pessoal.

Quando vou a um site do Departamento de Defesa (Internet Explorer JPAS) e clico no botão CAC, uma caixa de diálogo é exibida com os diferentes certificados. Eu seleciono DOD CA-25, digito meu PIN e a página da Web sai incorreta. (O Internet Explorer não fornece relatórios de erros muito bons, mas acho que foi o erro 103.)

Se eu repetir essas mesmas etapas no meu PC em casa, tudo funcionará bem com o mesmo leitor e CAC.

O que está acontecendo de errado no trabalho?

Atualizações:

  • O erro dado pelo Chrome é "erro 107"
  • Estou executando o Windows 7 de 64 bits
  • Eu obtenho o mesmo resultado com meu Cherry st-1044u como meu leitor de cartão barato cl-ud-200 63-em-1; ambos os leitores funcionam perfeitamente na minha máquina antiga
windows access-control pki Crash893
fonte
6
Se você é um contratado do Departamento de Defesa dos EUA, revise seu bloco DD254 11 em relação à segurança operacional. Pode fornecer orientações sobre como discutir questões operacionais com o público em geral. Acredito que publicar informações neste site seria considerado público em geral, pois é universalmente acessível. Se o seu DD254 não fornecer orientação, recomendo pedir orientação ao seu FOE ou representante apropriado para obter orientação sobre quais questões operacionais podem ser discutidas em um fórum aberto.
precisa saber é o seguinte
Não há código de status http 103: w3.org/Protocols/rfc2616/rfc2616-sec10.html Deve haver um erro 403 se sua autenticação não estiver funcionando. Você pode tentar em um navegador diferente no laptop?
user56969
@ this.josh É pior que isso. Não é apenas "público em geral", considerando o quão fortemente indexados esses sites estão no Google, mas a publicação em si é licenciada CC BY-SA 3.0.
Scott Pack
Atualizar O erro é "error 107 net :: ERRO SSL PROTOCOL ERRO Erro de protocolo SSL
Crash893

Respostas:

1

Se o seu navegador doméstico não solicitar um certificado, você poderá ter um conjunto de certificados diferente instalado. Compare os certificados do DoD instalados no seu navegador doméstico com os instalados na máquina de trabalho. Compare também os certificados disponíveis no pop-up com os certificados instalados em sua máquina doméstica.

Você pode estar selecionando DoD CA válido para o CAC, mas não válido para o site. (Se o CAC for assinado por várias autoridades de certificação)

Você está usando o mesmo site de destino para testar no trabalho e em casa?

Caso contrário, você precisará usar o mesmo URL para verificar a operação do CAC.

Nesse caso, verifique o endereço IP e o certificado do site. O site pode ser espelhado em redes diferentes, o que significa que, dependendo de onde você se conecta, o mesmo URL pode ser resolvido para diferentes sistemas, os diferentes sistemas provavelmente terão endereços IP diferentes.

this.josh
fonte
O navegador doméstico solicita um certificado da mesma maneira que o laptop em questão.
Crash893
@ Bater - Isso não parece correto. Não há nada de especial no IE9 ou no Win 7 quando se trata de cartões CAC.
Ramhound 19/08/11
foi o que pensei que não me lembro de ter feito algo especial em minhas outras máquinas além de atualizar os certificados de autoridade raiz confiáveis.
precisa saber é o seguinte
@ Crash893 Você usou a mesma versão do InstallRoot nas duas máquinas?
precisa saber é o seguinte
1

Verifique as configurações de criptografia do navegador (SSL, TLS). Alguns sites são específicos sobre o que precisam. A empresa pode ter desativado as configurações necessárias ao site.

Além disso, se você nunca conseguiu chegar lá do trabalho (de qualquer máquina), talvez seu IP público esteja na lista negra do firewall do DoD.

Scott McClenning
fonte
foi feito no mesmo local para que o endereço IP fosse o mesmo. É uma instalação padrão do IE9 (eu também tentei o chrome e o firefox padrão)
#
esta é uma construção de base de win7 64 bits isto é, 9 (32 e 64) e cromo 13 não funcionam
Crash893
1

Minha resposta é baseada no IE. Se isso também estiver acontecendo em outros navegadores, adicione as informações à sua postagem sobre o erro exato que você está encontrando e a versão exata do navegador (em casa e no escritório).

O erro 107 ocorre quando o navegador e o site não podem concordar com o protocolo SSL a ser usado. Veja abaixo meu ponto de resposta 1, que aborda esse problema. Além disso, o relatório de erros no IE pode ser aprimorado indo ao Painel de Controle -> Opções da Internet / guia Avançado / seção Navegação e desmarcando "Mostrar mensagens de erro HTTP amigáveis", pressione OK e reinicie o IE.

Sugiro a leitura deste artigo militar (muito longo):
ALGUNS PROBLEMAS QUE VOCÊ PODE RECEBER AO CONFIGURAR SEU LEITOR E SOFTWARE CAC

O artigo contém várias soluções para muitos problemas. Selecionei alguns e observo que a maioria do Painel de Controle -> Opções da Internet pertence ao IE, mas alguns também pertencem a outros navegadores (é necessário reiniciar o navegador após a alteração).

  1. Opções da Internet / guia Avançado / seção Segurança, verifique se o TLS 1.0 e o SSL 3.0 estão marcados e o SSL 2.0 NÃO. Se isso não ajudar, tente também verificar o SSL 2.0.
  2. Opções da Internet / guia Segurança / Sites confiáveis, altere o nível padrão para baixo, adicione o domínio aos Sites confiáveis. Também clique em Internet e altere o nível padrão para Médio.
  3. Nas Opções da Internet, limpe o cache na guia Geral, botão Excluir ..., marque a opção Arquivos temporários da Internet e Cookies e clique no botão Excluir.
  4. em Opções da Internet / guia Avançado / seção Segurança, tente marcar ou desmarcar a opção "Permitir que o conteúdo ativo do CD seja executado no meu computador".
  5. Opções da Internet / Conteúdo / Certificados / Pessoal / Avançado, marque a caixa que diz "Autenticação de cliente".
  6. Opções Internet / guia Segurança, clique em Internet e desmarque "Ativar modo protegido".

Minha adição: Desativando a configuração de segurança aprimorada do Internet Explorer .

Para o Chrome, consulte o artigo Recebo o erro 107 .

harrymc
fonte
Não confirmado, mas a melhor resposta ainda, Com 3 horas para ir, você recebe o +50. Vou relatar hoje mais tarde, se funcionar ou não.
precisa saber é o seguinte
Evite desativar o SSL 3.0 em todos os casos. O SSL 3.0 é inseguro após uma vulnerabilidade encontrada pelo Google em 2014 . Os sites comuns do DoD que conheço não usam o SSL 3.0, e habilitá-lo torna seu computador vulnerável a ataques do tipo intermediário.
citelao 07/07
1

Ok, então aqui está o que aconteceu. Nunca descobri qual era a causa raiz do problema, mas por capricho, criei um novo perfil de usuário na mesma máquina. Conectado a esse perfil e funciona como um encanto.

não sei por que, mas ele corrigiu o problema.

Obrigado por todos que ajudaram

Crash893
fonte
0

Embora essa resposta venha cinco anos após a pergunta, encontrei um problema com cadeias de certificados inválidas.

visão global

Se você instalou os outros certificados do DoD corretamente (e irei aderir à documentação não classificada em militarycac.com e no DoD PKE sobre o InstallRoot ~ 5.0.0 ), você pode, como eu, ter cadeias de certificados conflitantes.

Na ferramenta de configuração das Opções da Internet (ou certmgr.mscse você preferir), é necessário remover vários documentos conflitantes. Você pode consultar o artigo do MilitaryCAC , o outro artigo dele (consulte as páginas em "informações incorretas") ou usar o removedor de certificados cruzados do DoD PKE (disponível na mesma página que o InstallRoot, com alguma documentação ) para remover as informações incorretas. O MilitaryCAC encontrou a ferramenta oficial querendo :

Sinta-se livre para usar se você quiser perder seu tempo.

Etapas corretivas

  1. Verifique se os certificados do DoD estão instalados (usando o InstallRoot 5.0.0 ou superior ; alternativa: site oficial não-HTTPS ; os dois pacotes estão assinados incorretamente, mas devem ser executados de qualquer maneira)
  2. Abra a página de certificados (Internet Explorer → Internet OptionsContentCertificatesou certmgr.mscse você souber como usá-lo).
  3. Remova as autoridades de certificação intermediárias inválidas ( certificados raiz não confiáveis)
    • DoD Interoperability Root CA 1(Exp 11/15/2019)
    • DoD Root CA 2(Exp 9/6/2019; por que uma autoridade de certificação raiz em certificados intermediários?)
    • SHA-1 Federal Root CA G2(Exp 12/31/2019)
    • DoD Interoperability Root *something*(Exp 8/15/2019)
    • DoD Root CA 3(Exp 2/17/2019)
    • Federal Bridge CA 2016(Exp 11/8/2019)
  4. Deveria trabalhar. Talvez depois de uma reinicialização.
citelao
fonte