Memecahkan masalah terkait sertifikat

Anda mungkin melihat error terkait sertifikat berikut di file log Google Cloud Directory Sync (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Ikuti langkah-langkah di bawah untuk memperbaiki error ini.

Pada halaman ini

Memperbaiki error terkait sertifikat

Langkah-langkah untuk Microsoft Windows

Memperbarui file vmoption

  1. Tutup Configuration Manager.
  2. Di direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions.

    Direktori penginstalan biasanya C:\Program Files\Google Cloud Directory Sync.

  3. Edit file untuk menambahkan baris berikut:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Mulai ulang Configuration Manager dan buka halaman LDAP Configuration.
  5. Untuk Connection type, tentukan LDAP+SSL.
  6. Untuk Port, pilih salah satu opsi:
    • Jika sebelumnya Anda menggunakan 389, tentukan 636
    • Jika sebelumnya Anda menggunakan 3268, tentukan 3269.
  7. Klik Uji koneksi.
  8. Jika Anda mendapatkan:
    • Error sertifikat–Di komputer yang menjalankan GCDS, pastikan sertifikatnya dipercaya oleh Windows. Kemudian, lanjutkan ke Langkah 2: Impor sertifikat server (di bagian bawah pada halaman ini).
    • Error pemeriksaan pencabutan sertifikat–Ikuti langkah-langkah di Cara GCDS memeriksa daftar pencabutan sertifikat.
    • Error lainnya (misalnya, error jaringan)–Buka Memecahkan masalah umum GCDS.

Mengimpor sertifikat server

Anda juga dapat menggunakan langkah-langkah ini untuk mengimpor sertifikat bagi server LDAP atau proxy HTTP yang menggunakan sertifikat yang ditandatangani sendiri.

  1. Login ke pengontrol domain dan buka command prompt.
  2. Untuk mengekspor sertifikat pengontrol domain, masukkan perintah berikut:

    certutil -store My DomainController dccert.cer

  3. Salin file dccert.cer ke server tempat GCDS diinstal.
  4. Sebagai administrator, buka command prompt.
  5. Untuk membuka folder penginstalan Java Runtime Environment (JRE) GCDS, masukkan perintah berikut:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Jika Anda menjalankan GCDS versi 32-bit yang diinstal pada sistem Windows 64-bit, gunakan cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. Untuk mengimpor sertifikat pengontrol domain, masukkan perintah berikut:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Jika Anda perlu mengimpor lebih dari satu sertifikat, ulangi langkah-langkah ini menggunakan alias yang berbeda sebagai pengganti mydc.

  7. Masukkan Ya untuk memercayai sertifikat.
  8. Tutup Configuration Manager.
  9. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.
  10. Di setiap file, hapus:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Jika Anda menghapus baris tersebut, GCDS akan menggunakan penyimpanan sertifikat di lib/security/cacerts, bukan penyimpanan sistem Windows.

  11. Buka Configuration Manager, buka halaman LDAP Configuration, lalu klik Test Connections.
  12. Jika masih melihat error terkait sertifikat, Anda mungkin perlu mengimpor sertifikat Certificate Authority (CA) organisasi Anda, bukan sertifikat pengontrol domain. Untuk melakukannya, ulangi langkah-langkah ini, tetapi ekspor dan impor sertifikat CA sebagai gantinya.

Langkah-langkah untuk Linux

Anda juga dapat menggunakan langkah-langkah ini untuk mengimpor sertifikat bagi server LDAP atau proxy HTTP yang menggunakan sertifikat yang ditandatangani sendiri.

  1. Login ke pengontrol domain dan buka command prompt.
  2. Untuk menemukan sertifikat domain, masukkan perintah berikut:

    certutil -store My DomainController dccert.cer

  3. Salin file dccert.cer ke server tempat GCDS diinstal.
  4. Untuk membuka folder penginstalan Java Runtime Environment (JRE) GCDS, buka command prompt, lalu masukkan perintah berikut:

    cd ~/GoogleCloudDirSync/jre

  5. Untuk mengimpor sertifikat pengontrol domain, masukkan perintah berikut:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Jika Anda perlu mengimpor lebih dari satu sertifikat, ulangi langkah-langkah ini menggunakan alias yang berbeda sebagai pengganti mydc.

  6. Masukkan Ya untuk memercayai sertifikat.
  7. Tutup Configuration Manager.
  8. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.

    Direktori penginstalan biasanya ~/GoogleCloudDirSync.

  9. Di setiap file, hapus:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Jika Anda menghapus baris tersebut, GCDS akan menggunakan penyimpanan sertifikat di lib/security/cacerts, bukan penyimpanan sistem Windows.

  10. Buka Configuration Manager, buka halaman LDAP Configuration, lalu klik Test Connections.
  11. Jika masih melihat error terkait sertifikat, Anda mungkin perlu mengimpor sertifikat Certificate Authority (CA) organisasi Anda, bukan sertifikat pengontrol domain. Untuk melakukannya, ulangi langkah-langkah ini, tetapi ekspor dan impor sertifikat CA sebagai gantinya.

Cara GCDS memeriksa daftar pencabutan sertifikat

GCDS harus memvalidasi sertifikat Secure Sockets Layer (SSL) saat terhubung ke Google API (melalui HTTPS) dan ke LDAP melalui SSL. GCDS melakukannya dengan mengambil daftar pencabutan sertifikat (CRL) dari Certificate Authority melalui HTTP. Terkadang, validasi ini gagal, biasanya karena proxy atau firewall yang memblokir permintaan HTTP.

Pastikan bahwa server GCDS dapat mengakses URL berikut melalui HTTP (port 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Untuk mengetahui detail CRL saat ini, buka Pemeriksaan CRL. URL tambahan mungkin diperlukan jika Anda menggunakan sertifikat milik sendiri untuk LDAP melalui SSL.

Jika tidak dapat mengizinkan akses CRL, Anda dapat menonaktifkan pemeriksaan CRL:

  1. Di direktori penginstalan GCDS, buka file <code class="notranslate">sync-cmd.vmoptions</code> dan <code class="notranslate">config-manager.vmoptions</code> menggunakan editor teks.

    Direktori penginstalan biasanya <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) atau <code class="notranslate">~/GoogleCloudDirSync</code> (Linux).

  2. Tambahkan baris berikut ke file:

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Sinkronisasi melambat setelah beralih ke LDAP+SSL

Jika Anda telah beralih ke LDAP+SSL dan proses sinkronisasi menjadi lambat:

  1. Tutup Configuration Manager.

  2. Di direktori penginstalan GCDS, buka file <code class="notranslate">sync-cmd.vmoptions</code> dan <code class="notranslate">config-manager.vmoptions</code> menggunakan editor teks.

    Direktori penginstalan biasanya <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) atau <code class="notranslate">~/GoogleCloudDirSync</code> (Linux).

  3. Edit file untuk menambahkan baris berikut:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Simpan file dan coba sinkronisasi lagi.

Memastikan autentikasi setelah update Microsoft ADV190023

Jika menggunakan Microsoft Active Directory dengan binding saluran dan penandatanganan LDAP diaktifkan, Anda harus mengambil langkah-langkah tambahan untuk memastikan bahwa GCDS diautentikasi menggunakan LDAP melalui SSL. Jika tidak, GCDS tidak akan terhubung ke Active Directory dan sinkronisasi Anda akan gagal. Anda harus melakukan langkah-langkah ini meskipun sebelumnya telah menjalankan sinkronisasi menggunakan autentikasi LDAP Standar. Untuk mengetahui detail tentang Microsoft ADV190023, lihat dokumentasi Microsoft.

Jika telah berhasil menggunakan LDAP melalui SSL, Anda tidak perlu melakukan langkah apa pun.

Langkah 1: Aktifkan TLS di Active Directory

Istilah TLS dan SSL sering digunakan secara bergantian.

Untuk mengaktifkan TLS di Active Directory, baca artikel Microsoft berikut:

Langkah 2: Pastikan sertifikat dipercaya

Certificate Authority (CA) yang menandatangani sertifikat pengontrol domain Anda harus dipercaya oleh GCDS. CA internet yang paling terkenal, seperti Verisign, Comodo, dan Let's Encrypt, dipercaya oleh GCDS. Jika menggunakan CA tersebut, Anda dapat melewati langkah ini.

Jika CA Anda tidak tepercaya atau jika Anda menggunakan root CA Anda sendiri, ikuti langkah-langkah di atas dalam Memperbaiki error terkait sertifikat.

Langkah 3: Siapkan Configuration Manager

  1. Buka Configuration Manager dan buka halaman LDAP Configuration.
  2. Untuk setelan Connection type, tentukan LDAP+SSL.
  3. Untuk setelan Port, tentukan 636 (jika sebelumnya Anda menggunakan 389) atau 3269 (jika sebelumnya Anda menggunakan 3268).
  4. Klik Uji koneksi.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.