陸軍のメールにアクセスしようとする際に、「有効な証明書がありません」「403」「クライアント認証が必要です」といった証明書のプロンプトやエラーが表示されるのは、本当に面倒です。多くの場合、原因はいくつか考えられます。CACリーダーが検出されていないか正しく設定されていない、国防総省のルート証明書が古くなっているか欠落している、ブラウザプロファイルに古いデータが含まれていて問題が発生している、などです。これらの問題を解決するのは必ずしも簡単ではありませんが、少し辛抱強く作業すれば、設定を確認し、すべての設定が適切であることを確認するだけで済む場合が多いです。
どの方法を試すにしても、重要なのはCAC、証明書、ブラウザを正常に動作させ、陸軍ポータルがユーザーを正しく認識できるようにすることです。うまくいかないとイライラしますが、これらの手順により、多くの人がそれらの障害を乗り越え、それほど手間をかけずにスムーズにサインインできるようになりました。
Windows で陸軍メール証明書プロンプトエラーを修正する方法
始める前に
- サポートされているブラウザ(通常はEdgeまたはChrome)を使用してください。IE は現在では半ば廃止されていますが、一部のポータルでは依然として IE に依存しています。
- CAC、PIN、USBリーダーを手元に用意しておきましょう。リーダーを交換したり、CACを再度挿入したりするだけで、面倒な作業を大幅に軽減できる場合があります。
- VPN またはプロキシ フィルターを一時的に無効にします。これらが証明書の検証を妨げる場合があります。
スマートカードの設定を確認する
- リーダーは検出されていますか? CACリーダーをUSBポートに直接接続してください。ハブは検出に影響を及ぼす可能性があるため、使用しないでください。デバイスマネージャーを開き(Win+を押してデバイスマネージャーXを選択)、スマートカードリーダーの項目を確認してください。そこにデバイスが表示されていれば問題ありません。
- Smart Cardサービスは実行されていますか?Win +を押しR、
services.msc
と入力してEnterキーを押します。リストからSmart Cardを見つけてください。自動に設定され、開始されているはずです。停止している場合は、右クリックして「開始」を選択してください。サービスが開始しない、または停止し続ける場合は、CCリーダードライバーの再起動または再インストールが必要になる場合があります。
一部の設定では、Windows の更新後にスマート カード サービスを *手動で* 再起動する必要があるため、必ず確認してください。
DoD証明書のインストールまたは更新
- プロファイルに保存されている証明書が乱雑になっていたり、古くなったりすることがあります。「ユーザー証明書の管理」にアクセスしてください(スタートメニューで「ユーザー証明書の管理」を検索するか、「ファイル名を指定して
certmgr.msc
実行」ダイアログに入力してください)。信頼されたルート証明機関と中間証明機関の中に、古くなったり重複したりしているDoD証明書がないか確認してください。疑わしいものはすべて削除してください。 - 次に、最新のDoDルート証明書と中間証明書を入手します。[国防デジタルサービス](https://public.cyber.mil/pki-pke/certificates/)またはその他の公式ソースからダウンロードできます。これらの証明書を証明書マネージャーの同じストアにインポートします。右クリックして「すべてのタスク」>「インポート」を選択してください。Windows 11の場合は、ガイドに従って、正しいストアにインポートしてください。
どの証明書を取得すればよいか分からない場合は、一般的には国防総省が発行した「DoD Root CA」または「Intermediate CA」というラベルの付いたファイルを探してください。一部のマシンでは、証明書が最新でないとポータルがCACを認識しないため、これが重要な修正となることが多いです。
クリーンなプロファイルでEdgeを使用する
- キャッシュとCookieは様々な問題を引き起こす可能性があります。Edgeでキャッシュをクリアするには、「設定」>「プライバシー、検索、サービス」>「閲覧履歴データの消去」に進みます。 「Cookieとその他のサイトデータ」と「キャッシュされた画像とファイル」を選択します。「今すぐ消去」をクリックします。
- より安全を確保するには、 InPrivateウィンドウでサインインするか、新しいブラウザプロファイルを作成してみてください。これにより、キャッシュされた古い証明書の設定が変更させずに済みます。キャッシュされた証明書の設定は、時に動作しなくなり、競合を引き起こすことがあります。InPrivateを開くには、を押しますCtrl + Shift + N。
- 設定でIEモードが必要な場合(古いポータルでは必要な場合もあります)、 Edgeの「設定」>「既定のブラウザ」に移動し、「Internet Explorerモードでサイトの再読み込みを許可する」をオンにします。必要に応じてメニューから切り替えることができます。
豆知識:一部のシステムでは、クリーンなプロファイルのEdgeの方がCACログインに適しているようです。おそらく、拡張機能やキャッシュデータの影響を受けずに起動できるからでしょう。奇妙ですが、本当です。
プロンプトが表示されたら適切な証明書を選択する
- ブラウザに「EMAIL SIGN」というラベルの証明書が表示されたら、 「ID」や「PIV AUTH」ではなく、「EMAIL SIGN」というラベルの証明書を選択してください。ポータルでは通常、メールアクセスにこのラベルが求められます。複数の証明書が表示された場合は、最新のもの、または正しいUPN/メールアドレスを持つものを選択してください。有効期限はここで重要です。
- CAC PINを慎重に入力してください。何度か間違えるとPINがロックされ、RAPIDSサイトにアクセスしてリセットする必要があります。ポータルでは通常、正しいメール署名証明書とPINの入力が求められることに注意してください。
それでもうまくいかない場合は…
- DNSまたはSSLエラー: VPNまたはプロキシを一時的に無効にして、DNS設定を確認してください。Windowsがサイトを正しく解決できなかったり、証明書のチェックをブロックしたりする場合があります。
- 403 エラーまたは「クライアント証明書が必要です」エラー: DoD 証明書を再インポートし、必要に応じて古い証明書を削除してから、新しい Edge プロファイルを作成してください。新しいプロファイルで最初からやり直すだけで、証明書の不一致が修正される場合もあります。
- プロンプトに証明書が表示されない場合: CAC を再度挿入し、別の USB ポート (ハブを避けた直接ポートが望ましい) を試して、スマート カード サービスが実行されていることを確認します。
- PINがロックされている場合: RAPIDSカードのオフィスまたは公式RAPIDSウェブサイトでPINのロックを解除してください。PINのロックを解除せずに手続きを再度実行しても、何も起こりません。
よくある質問
どの証明書を選べばいいですか?コマンドで別の証明書を指定しない限り、OWAアクセスには「EMAIL SIGN」とマークされた証明書を使用してください。通常、陸軍のメール認証にはこの証明書が使用されます。
Chrome は時々失敗するのに、Edge はなぜ動作するのでしょうか? Edge は IE モードをサポートし、Windows 証明書ストアとの統合性が向上しています。一部の陸軍ポータルは依然としてこれらの従来の動作に依存しているため、CAC ログインでは Edge の方が信頼性が高い傾向があります。
まとめ
- リーダーが検出され、スマート カード サービスが実行されていることを確認してください。
- DoD ルート/中間証明書を更新または置き換え、古い/重複した証明書を削除します。
- 新しいプロファイルで Edge を使用し、必要に応じて IE モードを有効にします。
- 正しいEMAIL SIGN証明書を選択し、PIN を正しく入力します。
これで少しは楽になると思います。時には、すべてを正しい順序で実行し、Windowsが証明書とハードウェアを正しく認識できるようにすればいいだけです。頑張ってください!