我的一名员工最近拿到了一张CAC卡和一个USB读卡器。

读者工作正常，如果我打开IE9并转到选项>内容>证书>个人，我可以看到证书。

当我访问DoD网站（Internet Explorer JPAS）并单击CAC按钮时，会出现一个对话框，其中显示了不同的证书。我选择DOD CA-25，输入我的PIN，然后输出网页错误。（Internet Explorer没有提供非常好的错误报告，但我认为这是错误103.）

如果我从家用电脑重复这些相同的步骤，一切都可以使用相同的阅读器和CAC。

工作中出了什么问题？

更新：

• Chrome提供的错误是“错误107”
• 我正在运行Windows 7 64位
• 我的Cherry st-1044u和我的便宜的cl-ud-200 63合1读卡器得到了相同的结果; 两位读者都能在我的旧机器上完美运行

如果您的主浏览器没有要求证书，那么您可能安装了不同的证书集。将家庭浏览器上安装的DoD证书与工作机器上安装的证书进行比较。还要将弹出窗口上提供的证书与家用计算机上安装的证书进行比较。

您可能正在选择对CAC有效但对网站无效的DoD CA. （如果CAC由多个CA签名）

您是否使用相同的目的地网站在工作和家中进行测试？

如果不是，则需要使用相同的URL来检查CAC操作。

如果是，请检查站点的IP地址和证书。该站点可以镜像在不同的网络上，这意味着根据您连接的位置，相同的URL可能会解析到不同的系统，不同的系统可能会有不同的IP地址。

检查浏览器加密设置（SSL，TLS）某些站点是否特别需要它们。该公司可能已禁用该网站所需的设置。

此外，如果您从未能够从工作中（从任何计算机）到达那里，可能您的公共IP位于DoD防火墙黑名单中。

_{我的回答是基于IE。如果在其他浏览器上也发生这种情况，请将您的信息添加到帖子中，告知您遇到的确切错误以及确切的浏览器版本（家庭和办公室）。}

当浏览器和网站无法就要使用的SSL协议达成一致时，会出现错误107。请参阅下面我的答案第1点，它解决了这个问题。此外，通过转到“控制面板” - >“Internet选项/高级”选项卡/“浏览”部分，并取消选中“显示友好的HTTP错误消息”，按OK，然后重新启动IE，可以改进IE中的错误报告。

我建议阅读这篇（非常长的）军事文章：在
设置CAC读者和软件时可能会收到的一些问题

该文章包含许多问题的多种解决方案。我选择了一些并注意到大多数控制面板 - > Internet选项与IE有关，但有些也与其他浏览器有关（更改后需要重新启动浏览器）。

1. “Internet选项/高级”选项卡/“安全”部分，确保已选中TLS 1.0和SSL 3.0，并且未选中SSL 2.0。如果这没有帮助，请尝试检查SSL 2.0。
2. “Internet选项/安全”选项卡/“可信站点”，将默认级别更改为“低”，将域添加到“可信站点”。同时单击“Internet”并将默认级别更改为“中”。
3. 在“Internet选项”中，清除“常规”选项卡中的缓存，“删除...”按钮，在“临时Internet文件”和“Cookie”上放置复选标记，然后单击“删除”按钮。
4. 在“Internet选项/高级”选项卡/“安全性”部分下，尝试选中或取消选中“允许CD中的活动内容在我的计算机上运行”。
5. Internet选项/内容/证书/个人/高级，选中“客户端身份验证”框。
6. “Internet选项/安全”选项卡，单击“Internet”并取消选中“启用保护模式”。

我的补充：禁用Internet Explorer增强安全配置。

对于Chrome，请参阅我收到错误107的文章。

好的，这就是发生的事情。我从来没有发现问题的根本原因是什么，但我一时兴起在同一台机器上创建了一个新的用户配置文件。登录到该配置文件，它就像一个魅力。

不知道为什么，但它解决了这个问题。

感谢所有帮助过的人

虽然这个答案是在提出问题5年后提出的，但我遇到了无效证书链的问题。

概观

如果您已正确安装了其他DoD证书（我将遵循militarycac.com和DoD PKE上有关InstallRoot~5.0.0的未分类文档），您可能会像我一样拥有冲突的证书链。

在Internet选项配置工具中（或者certmgr.msc如果这是您的想象），您需要删除多个冲突的证书。您可以参考MilitaryCAC的文章，他的其他文章（参见“不良证书”页面）或使用DoD PKE的交叉证书转发器（在与InstallRoot相同的页面上提供，带有一些文档）来删除“不良证书”，尽管MilitaryCAC 找到了正式工具：

如果您想浪费时间，请随意使用。

补救措施

1. 确保安装了DoD证书（使用InstallRoot 5.0.0或更高版本 ;替代方案：非HTTPS官方站点 ;两个程序包都未正确签名，但仍应运行）
2. 打开证书页面器（Internet Explorer→交通Internet Options→交通Content→交通Certificates或者certmgr.msc，如果你知道如何使用它）。
3. 删除无效的中间证书颁发机构（不受信任的根证书）
   • DoD Interoperability Root CA 1（Exp 11/15/2019）
   • DoD Root CA 2（Exp 9/6/2019;为什么中间证书中的根CA？）
   • SHA-1 Federal Root CA G2（Exp 12/31/2019）
   • DoD Interoperability Root *something*（Exp 8/15/2019）
   • DoD Root CA 3（Exp 2/17/2019）
   • Federal Bridge CA 2016（Exp 11/8/2019）
4. 应该管用。也许重启后。