Certificaatvragen of fouten zoals “Geen geldig certificaat”, “403” of “Client-authenticatie vereist” bij het openen van e-mail van het leger kunnen een behoorlijke klus zijn. Meestal komt het neer op een aantal veelvoorkomende problemen: uw CAC-lezer wordt mogelijk niet gedetecteerd of niet correct geconfigureerd, de rootcertificaten van het ministerie van Defensie zijn mogelijk verouderd of ontbreken, of uw browserprofiel bevat mogelijk verouderde gegevens die de boel in de war schoppen. Dit is niet altijd eenvoudig op te lossen, maar met wat geduld is het vaak slechts een kwestie van uw instellingen controleren en ervoor zorgen dat alles in orde is.
Welke methode je ook probeert, het idee is om je CAC, certificaten en browser goed te laten werken, zodat de legerportal je correct herkent. Het is frustrerend als dingen niet werken, maar deze stappen hebben al heel wat mensen geholpen om die obstakels te overwinnen en zich weer soepel en zonder veel gedoe aan te melden.
Hoe u fouten in de prompt voor e-mailcertificaten van het leger in Windows kunt oplossen
Voordat je begint
- Gebruik een ondersteunde browser, meestal Edge of Chrome. Internet Explorer is inmiddels enigszins verouderd, maar sommige portals maken er nog steeds gebruik van.
- Houd uw CAC, pincode en USB-lezer bij de hand. Soms kan het verwisselen van de lezer of het opnieuw plaatsen van de CAC veel hoofdpijn besparen.
- Schakel VPN- of proxyfilters tijdelijk uit. Soms verstoren deze de certificaatvalidatie.
Controleer de Smart Card-instelling
- Wordt uw kaartlezer herkend? Sluit uw CAC-kaartlezer rechtstreeks aan op een USB-poort. Gebruik geen hubs, want die kunnen de detectie verstoren. Open Apparaatbeheer (druk op Win+ Xen selecteer Apparaatbeheer ) en kijk onder Smartcardlezers. Als uw apparaat daar staat, is het goed.
- Is de Smart Card-service actief? Druk op Win+ R, typ
services.mscen druk op Enter. Zoek Smart Card in de lijst. Deze zou ingesteld moeten zijn op Automatisch en gestart. Als de service gestopt is, klik dan met de rechtermuisknop en kies Start. Soms weigert de service te starten of blijft deze stoppen. Mogelijk is een herstart of herinstallatie van de drivers van uw CC-lezer nodig.
Bij sommige installaties wil de Smart Card-service *handmatig* opnieuw worden opgestart na Windows-updates. Vergeet dus niet dit aan te vinken.
DoD-certificaten installeren of vernieuwen
- Soms raken de certificaten in uw profiel rommelig of verouderd. Ga naar Gebruikerscertificaten beheren (zoek in Start naar ‘Gebruikerscertificaten beheren’ of typ ‘Gebruikerscertificaten beheren’
certmgr.mscin het dialoogvenster ‘Uitvoeren’).Controleer binnen Vertrouwde basiscertificeringsinstanties en tussenliggende certificeringsinstanties op verouderde of dubbele DoD-certificaten. Verwijder alles wat verdacht is. - Download vervolgens de nieuwste root- en tussenliggende certificaten van het Amerikaanse ministerie van Defensie (DoD) via de [Defense Digital Service](https://public.cyber.mil/pki-pke/certificates/) of andere officiële bronnen. Importeer deze in uw certificaatbeheerder onder dezelfde archieven: klik met de rechtermuisknop en kies Alle taken > Importeren. Volg voor Windows 11 de bijbehorende stappen en zorg ervoor dat u ze in de juiste archieven importeert.
Weet u niet zeker welke certificaten u moet aanschaffen? Zoek over het algemeen naar bestanden met het label “DoD Root CA” of “Intermediate CA” die door het Ministerie van Defensie zijn uitgegeven. Op sommige machines herkent de portal uw CAC niet als uw certificaten niet actueel zijn, dus dit is vaak de oplossing.
Gebruik Edge met een schoon profiel
- Cache en cookies kunnen allerlei problemen veroorzaken. Wis de cache in Edge: ga naar Instellingen > Privacy, Zoeken en Services > Browsegegevens wissen. Selecteer Cookies en andere sitegegevens en Gecachte afbeeldingen en bestanden. Klik op Nu wissen.
- Voor extra veiligheid kunt u zich aanmelden via een InPrivate-venster of zelfs een nieuw browserprofiel aanmaken. Zo voorkomt u dat u met oude gecachte certificaatvoorkeuren knoeit, die soms vastlopen en conflicten veroorzaken. Om InPrivate te openen, drukt u op Ctrl + Shift + N.
- Als uw installatie de Internet Explorer-modus vereist (oudere portals doen dat soms), ga dan naar Instellingen > Standaardbrowser in Edge en schakel ‘Toestaan dat sites opnieuw worden geladen in de Internet Explorer-modus’ in. U kunt vervolgens indien nodig via het menu overschakelen.
Leuk weetje: op sommige systemen werkt Edge met een schoon profiel gewoon beter voor CAC-aanmelding, mogelijk omdat het opstart zonder al die extensies of gecachte gegevens die interfereren. Raar, maar waar.
Het kiezen van het juiste certificaat wanneer daarom wordt gevraagd
- Wanneer de browser daarom vraagt, kies dan het certificaat met het label EMAIL SIGN — niet ID of PIV AUTH. Dit is doorgaans wat de portal verwacht voor e-mailtoegang. Als u meerdere certificaten ziet, kies dan het meest recente certificaat of het certificaat met het juiste UPN/e-mailadres. De vervaldatum is hier uw vriend.
- Typ uw CAC-pincode zorgvuldig. Na een paar verkeerde pogingen kan uw pincode geblokkeerd raken en moet u naar uw RAPIDS-website gaan om deze te resetten. Houd er rekening mee dat de portal meestal alleen om het juiste e-mailondertekeningscertificaat en de juiste pincode vraagt.
Als het nog steeds niet werkt…
- DNS- of SSL-fouten: Schakel de VPN of proxy tijdelijk uit en controleer uw DNS-instellingen. Soms herkent Windows de site niet goed of blokkeert het certificaatcontroles.
- Fouten 403 of “Clientcertificaat vereist”: importeer uw DoD-certificaten opnieuw – verwijder oude indien nodig – en maak vervolgens een nieuw Edge-profiel aan. Soms lost een frisse start met een nieuw profiel vreemde certificaatverschillen op.
- Er wordt geen certificaat weergegeven in de prompt: Sluit uw CAC opnieuw aan, probeer een andere USB-poort (bij voorkeur een directe poort, vermijd hubs) en controleer of de Smart Card-service actief is.
- PIN geblokkeerd: Ga naar uw RAPIDS-kaartkantoor of gebruik de officiële RAPIDS-website om uw pincode te ontgrendelen. Het proces opnieuw uitvoeren zonder de pincode te ontgrendelen, brengt u niet verder.
Veelgestelde vragen
Welk certificaat moet ik kiezen? Gebruik het certificaat met de aanduiding EMAIL SIGN voor OWA-toegang, tenzij uw opdracht een ander certificaat voorschrijft. Normaal gesproken is dat het certificaat dat u authenticeert voor e-mail van het leger.
Waarom werkt Chrome soms niet, maar Edge wel? Edge ondersteunt de IE-modus en integreert beter met Windows-certificaatopslag. Sommige Army-portals vertrouwen nog steeds op die oude gewoontes, waardoor Edge over het algemeen betrouwbaarder is voor CAC-aanmeldingen.
Samenvatting
- Zorg ervoor dat uw kaartlezer wordt gedetecteerd en dat de Smart Card-service actief is.
- Werk uw DoD root-/intermediate-certificaten bij of vervang ze en verwijder oude/dubbele certificaten.
- Gebruik Edge met een nieuw profiel en schakel indien nodig de IE-modus in.
- Selecteer het juiste EMAIL SIGN- certificaat en voer uw pincode correct in.
Hopelijk maakt dit het proces wat makkelijker. Soms is het gewoon een kwestie van alles in de juiste volgorde doen en ervoor zorgen dat Windows je certificaten en hardware duidelijk herkent. Succes!