Solucionar problemas relacionados con los certificados

En el archivo de registro de Google Cloud Directory Sync (GCDS) podrían aparecer los siguientes mensajes de error relacionados con los certificados:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Sigue los pasos que se indican a continuación para solucionar estos errores. 

En esta página

Corregir errores relacionados con los certificados

Abrir sección  |  Ocultar todo y volver al principio

Pasos para Microsoft Windows

Actualizar el archivo VMoption 

  1. Cierra el gestor de configuración.
  2. En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions.

    El directorio de instalación suele ser C:\Program Files\Google Cloud Directory Sync.

  3. Edita los archivos para añadir las siguientes líneas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Vuelve a abrir el gestor de configuración y ve a la página LDAP Configuration (Configuración de LDAP).
  5. En el ajuste Connection type (Tipo de conexión), elige LDAP+SSL.
  6. En Port, elige una opción:
    • Si ya has utilizado 389, especifica 636
    • Si ya has utilizado 3268, especifica 3269.
  7. Haz clic en Test connection (Probar conexión).
  8. A continuación se indica qué hacer en función de lo que aparezca: 
    • Un error de certificado: en el ordenador en el que se está ejecutando GCDS, comprueba que el certificado sea de confianza para Windows. Después, continúa con el apartado Paso 2: Importa el certificado del servidor (más abajo en esta página).
    • Se ha producido un error al comprobar la revocación del certificado: sigue los pasos que se indican en el artículo Cómo comprueba GCDS las listas de revocación de certificados.
    • Otros errores (por ejemplo, errores de red): consulta el artículo Solucionar problemas habituales de GCDS.

Importar el certificado del servidor

También puedes seguir estos pasos para importar certificados de servidores LDAP o proxies HTTP que utilicen certificados con firma automática.

  1. Inicia sesión en el controlador de dominio y abre una petición de comando.
  2. Para exportar el certificado del controlador de dominio, introduce el siguiente comando:

    certutil -store My DomainController dccert.cer

  3. Copia el archivo dccert.cer en el servidor en el que se ha instalado GCDS.
  4. Como administrador, abre una petición de comando.
  5. Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, introduce el siguiente comando:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Si utilizas una versión de 32 bits de GCDS instalada en un sistema Windows de 64 bits, utiliza cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. Para importar el certificado del controlador de dominio, introduce el siguiente comando:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Si necesitas importar más de un certificado, repite estos pasos con otro alias en lugar de mydc.

  7. Introduce Yes (Sí) para indicar que confías en el certificado.
  8. Cierra el gestor de configuración.
  9. En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.
  10. En cada archivo, quita estas líneas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Cuando elimines las líneas, GCDS utilizará el almacén de certificados de lib/security/cacerts en lugar del almacén del sistema de Windows.

  11. Abre el gestor de configuración, ve a la página LDAP Configuration (Configuración LDAP) y haz clic en Test Connections (Probar conexiones).
  12. Si se siguen produciendo errores con los certificados, es posible que debas importar el certificado de la autoridad de certificación (AC) de tu organización en lugar del certificado del controlador de tu dominio. Para ello, repite estos pasos, pero exporta e importa el certificado AC.
Pasos en Linux

También puedes seguir estos pasos para importar certificados de servidores LDAP o proxies HTTP que utilicen certificados con firma automática.

  1. Inicia sesión en el controlador de dominio y abre una petición de comando.
  2. Para buscar el certificado del dominio, introduce el siguiente comando:

    certutil -store My DomainController dccert.cer

  3. Copia el archivo dccert.cer en el servidor en el que se ha instalado GCDS.
  4. Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, abre una petición de comando e introduce el siguiente comando:

    cd ~/GoogleCloudDirSync/jre

  5. Para importar el certificado del controlador de dominio, introduce el siguiente comando:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Si necesitas importar más de un certificado, repite estos pasos con otro alias en lugar de mydc.

  6. Introduce Yes (Sí) para indicar que confías en el certificado.
  7. Cierra el gestor de configuración.
  8. En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.

    El directorio de instalación suele ser ~/GoogleCloudDirSync.

  9. En cada archivo, quita estas líneas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Cuando elimines las líneas, GCDS utilizará el almacén de certificados de lib/security/cacerts en lugar del almacén del sistema de Windows.

  10. Abre el gestor de configuración, ve a la página LDAP Configuration (Configuración LDAP) y haz clic en Test Connections (Probar conexiones).
  11. Si se siguen produciendo errores con los certificados, es posible que debas importar el certificado de la autoridad de certificación (AC) de tu organización en lugar del certificado del controlador de tu dominio. Para ello, repite estos pasos, pero exporta e importa el certificado AC.

Cómo comprueba GCDS las listas de revocación de certificados

GCDS debe validar los certificados de capa de conexión segura (SSL) cuando se conecta a las API de Google a través de HTTPS y a servidores LDAP a través de SSL. Para ello, GCDS recupera las listas de revocación de certificados (CRL) proporcionadas por autoridades de certificación a través de HTTP. A veces, estas validaciones no se pueden completar, normalmente porque un proxy o un cortafuegos bloquea la solicitud HTTP.

Comprueba que el servidor de GCDS pueda acceder a las siguientes URLs a través de HTTP (puerto 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Para saber qué listas de revocación de certificados están en uso, consulta Comprobación de la lista de revocación de certificados. Es posible que necesites más URLs si usas tus propios certificados en conexiones LDAP a través de SSL.

Si no puedes permitir el acceso a las CRLs, puedes desactivar las comprobaciones de estas listas:

  1. En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.

    Suele instalarse en el directorio C:\Archivos de programa\Google Cloud Directory Sync (si usas Windows) o en ~/GoogleCloudDirSync (si usas Linux).

  2. Añade estas líneas a los archivos:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

La sincronización se ralentiza después de pasar a LDAP+SSL

Si al pasar a usar LDAP+SSL se ha ralentizado el proceso de sincronización, prueba estos pasos: 

  1. Cierra el gestor de configuración.
  2. En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.

    Suele instalarse en el directorio C:\Archivos de programa\Google Cloud Directory Sync (si usas Windows) o en ~/GoogleCloudDirSync (si usas Linux).

  3. Edita los archivos para añadir las siguientes líneas:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Guarda los archivos y vuelve a intentar la sincronización.

Comprobar que la autenticación funciona después de aplicar la actualización de Microsoft ADV190023

Si utilizas Microsoft Active Directory y tienes habilitados el enlace de canal y la firma LDAP, deberás seguir unos pasos adicionales para asegurarte de que GCDS se autentica correctamente mediante LDAP a través de SSL. De lo contrario, GCDS no se conectará a Active Directory y no podrá sincronizarse. Debes seguir estos pasos aunque ya hayas ejecutado una sincronización con la autenticación LDAP estándar. Para obtener más información sobre el aviso de seguridad ADV190023 de Microsoft, consulta la documentación de Microsoft.

Si ya puedes utilizar LDAP a través de SSL, no tienes que hacer nada.

Abrir sección  |  Ocultar todo y volver al principio

Paso 1: Activa TLS en Active Directory

A menudo, los términos "TLS" y "SSL" se utilizan indistintamente. 

Para activar TLS en Active Directory, consulta estos artículos de Microsoft:

Paso 2: Asegúrate de que el certificado sea de confianza

GCDS debe considerar que la autoridad de certificación (CA) que firmó el certificado del controlador de tu dominio es de confianza. Las CAs de Internet más conocidas, como Verisign, Comodo y Let's Encrypt, son de confianza. Si utilizas esas ACs, puedes saltarte este paso.

Si tu CA no es de confianza o utilizas tu propia CA raíz, sigue los pasos que se indican en la sección Corregir errores relacionados con los certificados.
Paso 3: Configura el gestor de configuración
  1. Abre el gestor de configuración y ve a la página LDAP Configuration (Configuración de LDAP).
  2. En el ajuste Connection type (Tipo de conexión), elige LDAP+SSL.
  3. En el ajuste Port (Puerto), elige 636 (si anteriormente usaste 389) o 3269 (si utilizaste 3268).
  4. Haz clic en Test connection (Probar conexión).


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
5046777186310491590
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false