Partager via

Activer le chiffrement pour SAP HANA

  • Article

Nous vous recommandons de crypter les connexions à un serveur SAP HANA depuis Power Query Desktop et Power Query Online. Vous pouvez activer le chiffrement HANA à l’aide de la bibliothèque propriétaire CommonCryptoLib (anciennement sapcrypto) de SAP. SAP recommande l’utilisation de CommonCryptoLib.

Notes

SAP ne prend plus en charge OpenSSL. Par conséquent, Microsoft a mis fin à son support. Utilisez CommonCryptoLib à la place.

Cet article fournit une vue d’ensemble de l’activation du chiffrement à l’aide de CommonCryptoLib et référence des domaines spécifiques de la documentation SAP. Nous mettons régulièrement à jour le contenu et les liens, mais pour obtenir des instructions et un support complets, reportez-vous toujours à la documentation SAP officielle. Utilisez CommonCryptoLib pour configurer le chiffrement au lieu d’OpenSSL ; pour ce faire, accédez à Comment configurer TLS/SSL dans SAP HANA 2.0. Pour connaître les étapes de migration d’OpenSSL vers CommonCryptoLib, accédez à SAP Note 2093286 (s-user requis).

Notes

Les étapes de configuration du chiffrement détaillées dans cet article se chevauchent avec les étapes d’installation et de configuration de l’authentification unique SAML. Utilisez CommonCryptoLib comme fournisseur de chiffrement de votre serveur HANA et assurez-vous que votre choix de CommonCryptoLib est cohérent dans les configurations de chiffrement et SAML.

L’activation du chiffrement pour SAP HANA comprend quatre phases. Nous allons aborder ces phases ultérieurement. Plus d'informations : Sécurisation de la communication entre SAP HANA Studio et SAP HANA Server via SSL

Utiliser CommonCryptoLib

Vérifiez que votre serveur HANA est configuré pour utiliser CommonCryptoLib comme son fournisseur de services de chiffrement.

Fournisseur cryptographique OpenSSL.

Créer une demande de signature de certificat

Créez une demande de signature de certificat x509 pour le serveur HANA.

  1. À l’aide de SSH, connectez-vous à la machine Linux sur laquelle le serveur HANA s’exécute en tant que <sid>adm.

  2. Allez dans le répertoire Home /usr/sap/<sid>/home/.ssl. Le fichier .ssl masqué existe déjà si l’autorité de certification racine a déjà été créée.

    Si vous n’avez pas encore d’autorité de certification que vous pouvez utiliser, vous pouvez créer vous-même une autorité de certification racine en suivant la procédure décrite dans Securing the Communication between SAP HANA Studio and SAP HANA Server through SSL (Sécurisation de la communication entre SAP HANA Studio et SAP HANA Server via SSL).

  3. Exécutez la commande suivante :

    sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME avec FQDN> « CN=<HOSTNAME avec FQDN> »

Cette commande crée une demande de signature de certificat et une clé privée. Remplissez le champ <HOSTNAME avec FQDN> avec le nom d'hôte et le nom de domaine pleinement qualifié (FQDN).

Obtenir le certificat signé

Obtenez le certificat signé par une autorité de certification (CA) approuvée par le ou les clients que vous utiliserez pour vous connecter au serveur HANA.

  1. Si vous disposez déjà d’une autorité de certification d’entreprise approuvée (représentée par CA_Cert.pem et CA_Key.pem dans l’exemple suivant), signez la demande de certificat en exécutant la commande suivante :

    openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

  2. Copiez le nouveau fichier, cert.pem, sur le serveur.

  3. Créez la chaîne de certificats de serveur HANA :

    sapgenpse import_own_cert -p cert.pse -c cert.pem

  4. Redémarrez le serveur HANA.

  5. Vérifiez la relation d’approbation entre un client et l’autorité de certification que vous avez utilisée pour signer le certificat du serveur SAP HANA.

    Le client doit approuver l’autorité de certification utilisée pour signer le certificat x509 du serveur HANA avant de pouvoir établir une connexion chiffrée avec le serveur HANA à partir de la machine du client.

    Il existe plusieurs façons de s’assurer que cette relation d’approbation existe à l’aide de la console MMC (Microsoft Management Console) ou de la ligne de commande. Vous pouvez importer le certificat X509 de l'autorité de certification (cert.pem) dans le dossier Trusted Root Certification Authorities de l'utilisateur qui établira la connexion, ou dans le même dossier pour la machine cliente elle-même, si cela est souhaitable.

    Dossier Autorités de certification racine de confiance.

    Vous devez d'abord convertir le fichier cert.pem en un fichier .crt avant de pouvoir importer le certificat dans le dossier Autorités de certification racine de confiance.

Tester la connexion

Notes

Avant d’utiliser les procédures de cette section, vous devez être connecté à Power BI à l’aide de vos informations d’identification de compte d’administrateur.

Avant de pouvoir valider un certificat de serveur dans le service Power BI en ligne, vous devez disposer d’une source de données déjà configurée pour la passerelle de données locale. Si vous n’avez pas déjà configuré de source de données pour tester la connexion, vous devrez en créer un. Pour configurer la source de données sur la passerelle :

  1. Dans le service Power BI, sélectionnez l'icône de configuration. icône de configuration.

  2. Dans la liste déroulante, sélectionnez Gérer les passerelles.

  3. Sélectionnez les points de suspension (...) en regard du nom de la passerelle que vous souhaitez utiliser avec ce connecteur.

  4. Dans la liste déroulante, sélectionnez Ajouter une source de données.

  5. Dans Les paramètres de source de données, entrez le nom de la source de données que vous souhaitez appeler cette nouvelle source dans la zone de texte Nom de la source de données.

  6. Dans Type de source de données, sélectionnez SAP HANA .

  7. Entrez le nom du serveur dans Le serveur, puis sélectionnez la méthode d’authentification.

  8. Continuez à suivre les instructions de la procédure suivante.

Testez la connexion dans Power BI Desktop ou le service Power BI.

  1. Dans Power BI Desktop ou dans la page Paramètres de la source de données du service Power BI, assurez-vous que l'option Valider le certificat du serveur est activée avant de tenter d'établir une connexion avec votre serveur SAP HANA. Pour le fournisseur de chiffrement SSL, sélectionnez Commoncrypto. Ne renseignez pas les champs Magasin de clés SSL et Magasin d’approbations SSL.

    • Power BI Desktop

      Valider le certificat du serveur - service.

    • Service Power BI

      Valider le certificat du serveur - bureau.

  2. Vérifiez que vous pouvez établir correctement une connexion chiffrée avec le serveur avec l’option Valider le certificat du serveur activée, en chargeant des données dans Power BI Desktop ou en actualisant un rapport publié dans le service Power BI.

Vous remarquerez que seules les informations du fournisseur de chiffrement SSL sont requises. Toutefois, votre implémentation peut nécessiter que vous utilisiez également le magasin de clés et le magasin d’approbations. Pour plus d’informations sur ces magasins et sur la façon de les créer, accédez aux propriétés de connexion TLS/SSL côté client (ODBC).

Informations supplémentaires

Étapes suivantes