Ενεργοποίηση κρυπτογράφησης για SAP HANA

Συνιστούμε να κρυπτογραφείτε τις συνδέσεις σε έναν διακομιστή SAP HANA από το Power Query Desktop και το Power Query Online. Μπορείτε να ενεργοποιήσετε την κρυπτογράφηση HANA χρησιμοποιώντας την ιδιόκτητη CommonCryptoLib της SAP (παλαιότερα γνωστή ως sapcrypto). Η SAP συνιστά τη χρήση του CommonCryptoLib.

Σημείωμα

Η SAP δεν υποστηρίζει πλέον το OpenSSL και, κατά συνέπεια, η Microsoft έχει επίσης διακόψει την υποστήριξή της. Αντί για αυτό, χρησιμοποιήστε το CommonCryptoLib.

Αυτό το άρθρο παρέχει μια επισκόπηση της ενεργοποίησης της κρυπτογράφησης χρησιμοποιώντας το CommonCryptoLib και αναφέρεται σε ορισμένες συγκεκριμένες περιοχές της τεκμηρίωσης του SAP. Ενημερώνουμε περιοδικά το περιεχόμενο και τις συνδέσεις, αλλά για ολοκληρωμένες οδηγίες και υποστήριξη, πρέπει πάντα να ανατρέπετε πάντα στην επίσημη τεκμηρίωση του SAP. Χρησιμοποιήστε το CommonCryptoLib για να ρυθμίσετε την κρυπτογράφηση αντί για το OpenSSL. για τα βήματα που θα κάνετε, μεταβείτε στην ενότητα Τρόπος ρύθμισης παραμέτρων TLS/SSL στο SAP HANA 2.0. Για τα βήματα σχετικά με τον τρόπο μετεγκατάστασης από OpenSSL σε CommonCryptoLib, μεταβείτε στην ενότητα SAP Σημείωση 2093286 (απαιτείται χρήστης s-user).

Σημείωμα

Τα βήματα ρύθμισης για την κρυπτογράφηση που περιγράφονται λεπτομερώς σε αυτό το άρθρο αλληλεπικαλύπτονται με τα βήματα ρύθμισης και ρύθμισης παραμέτρων για SSO SAML. Χρησιμοποιήστε το CommonCryptoLib ως την υπηρεσία παροχής κρυπτογράφησης του διακομιστή HANA και βεβαιωθείτε ότι η επιλογή σας του CommonCryptoLib είναι συνεπής σε όλες τις ρυθμίσεις παραμέτρων SAML και κρυπτογράφησης.

Υπάρχουν τέσσερις φάσεις για την ενεργοποίηση της κρυπτογράφησης για SAP HANA. Καλύπτουμε αυτές τις φάσεις στη συνέχεια. Περισσότερες πληροφορίες: Ασφάλεια της επικοινωνίας μεταξύ των SAP HANA Studio και SAP HANA Server μέσω SSL

Χρήση του CommonCryptoLib

Βεβαιωθείτε ότι ο διακομιστής HANA έχει ρυθμιστεί ώστε να χρησιμοποιεί το CommonCryptoLib ως υπηρεσία παροχής κρυπτογράφησης.

Δημιουργία αίτησης υπογραφής πιστοποιητικού

Δημιουργήστε μια αίτηση υπογραφής πιστοποιητικού X509 για τον διακομιστή HANA.

1. Χρησιμοποιώντας SSH, συνδεθείτε στον υπολογιστή Linux στον οποίο εκτελείται ο διακομιστής HANA ως <sid>adm.

2. Μεταβείτε στον ριζικό κατάλογο /usr/sap/<sid>/home/.ssl. Το κρυφό αρχείο .ssl υπάρχει ήδη εάν η αρχή CA ρίζας έχει ήδη δημιουργηθεί.

   Εάν δεν έχετε ήδη μια αρχή έκδοσης πιστοποιητικών που μπορείτε να χρησιμοποιήσετε, μπορείτε να δημιουργήσετε μια αρχή έκδοσης πιστοποιητικών ρίζας, ακολουθώντας τα βήματα που περιγράφονται στο θέμα Εξασφάλιση της επικοινωνίας μεταξύ του SAP HANA Studio και του SAP HANA Server μέσω SSL.

3. Εκτελέστε την ακόλουθη εντολή:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME με FQDN> "CN=<HOSTNAME με FQDN>"

Αυτή η εντολή δημιουργεί μια αίτηση υπογραφής πιστοποιητικού και ένα ιδιωτικό κλειδί. Συμπληρώστε το <HOSTNAME με το FQDN> με το όνομα κεντρικού υπολογιστή και το πλήρως προσδιορισμένο όνομα τομέα (FQDN).

Υπογραφή του πιστοποιητικού

Υπογράψτε το πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών (CA) που θεωρείται αξιόπιστη από τα προγράμματα-πελάτες που θα χρησιμοποιήσετε για να συνδεθείτε στον διακομιστή HANA.

1. Εάν έχετε ήδη μια αξιόπιστη αρχή έκδοσης πιστοποιητικών (που αντιπροσωπεύεται από το CA_Cert.pem και το CA_Key.pem στο παρακάτω παράδειγμα), υπογράψτε την αίτηση πιστοποιητικού εκτελώντας την ακόλουθη εντολή:

   openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Αντιγράψτε το νέο αρχείο, cert.pem, στον διακομιστή.

3. Δημιουργήστε την αλυσίδα πιστοποιητικού του διακομιστή HANA:

   sapgenpse import_own_cert -p cert.pse -cert.pem

4. Επανεκκινήστε τον διακομιστή HANA.

5. Επαληθεύστε τη σχέση αξιοπιστίας μεταξύ ενός προγράμματος-πελάτη και της αρχής έκδοσης πιστοποιητικών που χρησιμοποιήσατε για να υπογράψετε το πιστοποιητικό του διακομιστή SAP HANA.

   Το πρόγραμμα-πελάτης πρέπει να θεωρεί αξιόπιστη την αρχή έκδοσης πιστοποιητικών που χρησιμοποιείται για την υπογραφή του πιστοποιητικού X509 του διακομιστή HANA, προκειμένου να είναι δυνατή η δημιουργία κρυπτογραφημένης σύνδεσης στον διακομιστή HANA από τον υπολογιστή του προγράμματος-πελάτη.

   Υπάρχουν διάφοροι τρόποι για να διασφαλίσετε ότι αυτή η σχέση αξιοπιστίας θα υπάρχει χρησιμοποιώντας την κονσόλα διαχείρισης της Microsoft (mmc) ή τη γραμμή εντολών. Μπορείτε να εισαγάγετε το πιστοποιητικό X509 της αρχής έκδοσης πιστοποιητικών (cert.pem) στον φάκελο Αξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζας για τον χρήστη που θα δημιουργήσει τη σύνδεση ή στον ίδιο φάκελο για τον ίδιο τον υπολογιστή του προγράμματος-πελάτη, εάν αυτό είναι επιθυμητό.

   

   Πρέπει πρώτα να μετατρέψετε το cert.pem σε ένα αρχείο .crt, για να μπορέσετε να εισαγάγετε το πιστοποιητικό στον φάκελο Αξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζας.

Δοκιμή της σύνδεσης

Σημείωμα

Πριν χρησιμοποιήσετε τις διαδικασίες σε αυτή την ενότητα, πρέπει να έχετε εισέλθει στο Power BI χρησιμοποιώντας τα διαπιστευτήρια του λογαριασμού διαχειριστή σας.

Για να μπορέσετε να επικυρώσετε ένα πιστοποιητικό διακομιστή στο Υπηρεσία Power BI online, πρέπει να έχετε ήδη ρυθμίσει μια προέλευση δεδομένων για την πύλη δεδομένων εσωτερικής εγκατάστασης. Εάν δεν έχετε ήδη ρυθμίσει μια προέλευση δεδομένων για να ελέγξετε τη σύνδεση, θα πρέπει να δημιουργήσετε μία. Για να ρυθμίσετε την προέλευση δεδομένων στην πύλη:

1. Από το Υπηρεσία Power BI, επιλέξτε το εικονίδιο ρύθμισης.

2. Από την αναπτυσσόμενη λίστα, επιλέξτε Διαχείριση πυλών.

3. Επιλέξτε τα αποσιωπητικά (...) δίπλα στο όνομα της πύλης που θέλετε να χρησιμοποιήσετε με αυτήν τη σύνδεση.

4. Από την αναπτυσσόμενη λίστα, επιλέξτε Προσθήκη προέλευσης δεδομένων.

5. Στο Ρυθμίσεις Προέλευση δεδομένων, εισαγάγετε το όνομα της προέλευσης δεδομένων που θέλετε να ονομάσετε αυτή τη νέα προέλευση στο πλαίσιο κειμένου Όνομα προέλευσης δεδομένων.

6. Στον Τύπο προέλευσης δεδομένων, επιλέξτε SAP HANA.

7. Εισαγάγετε το όνομα του διακομιστή στον Διακομιστή και επιλέξτε τη μέθοδο ελέγχου ταυτότητας.

8. Συνεχίστε να ακολουθείτε τις οδηγίες στην επόμενη διαδικασία.

Δοκιμάστε τη σύνδεση στο Power BI Desktop ή στο Υπηρεσία Power BI.

1. Στο Power BI Desktop ή στη σελίδα Προέλευση δεδομένων Ρυθμίσεις της Υπηρεσία Power BI, βεβαιωθείτε ότι είναι ενεργοποιημένη η επιλογή Επικύρωση πιστοποιητικού διακομιστή προτού επιχειρήσετε να δημιουργήσετε μια σύνδεση με τον διακομιστή σας SAP HANA. Για την υπηρεσία παροχής κρυπτογράφησης SSL, επιλέξτε commoncrypto. Αφήστε κενά τα πεδία Χώρος αποθήκευσης κλειδιών SSL και Χώρος αποθήκευσης αξιοπιστίας SSL.

   • Power BI Desktop

     

   • Υπηρεσία Power BI

     

2. Επαληθεύστε ότι μπορείτε να δημιουργήσετε με επιτυχία μια κρυπτογραφημένη σύνδεση στον διακομιστή με ενεργοποιημένη την επιλογή Επικύρωση πιστοποιητικού διακομιστή, φορτώνοντας δεδομένα στο Power BI Desktop ή ανανεώνοντας μια δημοσιευμένη αναφορά σε Υπηρεσία Power BI.

Θα έχετε υπόψη ότι απαιτούνται μόνο οι πληροφορίες υπηρεσίας παροχής κρυπτογράφησης SSL. Ωστόσο, η υλοποίησή σας μπορεί να απαιτεί να χρησιμοποιείτε επίσης τον χώρο αποθήκευσης κλειδιών και τον χώρο αποθήκευσης αξιοπιστίας. Για περισσότερες πληροφορίες σχετικά με αυτά τα καταστήματα και τον τρόπο δημιουργίας τους, μεταβείτε στην περιοχή Client-Side TLS/SSL Σύνδεση ion Properties (ODBC).

Πρόσθετες πληροφορίες

• Ιδιότητες ρύθμισης παραμέτρων TLS/SSL πλευράς διακομιστή για εξωτερική επικοινωνία (JDBC/ODBC)

Επόμενα βήματα

• Ρύθμιση παραμέτρων SSL για πρόσβαση προγράμματος-πελάτη ODBC στο SAP HANA