Abilitare la crittografia per SAP HANA

È consigliabile crittografare le connessioni a un server SAP HANA da Power Query Desktop e Power Query Online. È possibile abilitare la crittografia HANA usando la libreria CommonCryptoLib proprietaria di SAP (in precedenza nota come sapcrypto). SAP consiglia di usare CommonCryptoLib.

Nota

SAP non supporta più OpenSSL e di conseguenza Microsoft ha interrotto il supporto. Usare invece CommonCryptoLib.

Questo articolo offre una panoramica dell'abilitazione della crittografia tramite CommonCryptoLib e fa riferimento ad alcune aree specifiche della documentazione sap. Il contenuto e i collegamenti vengono aggiornati periodicamente, ma per istruzioni complete e supporto, fare sempre riferimento alla documentazione SAP ufficiale. Usare CommonCryptoLib per configurare la crittografia anziché OpenSSL; per i passaggi da eseguire, vedere How to Configure TLS/SSL in SAP HANA 2.0 (Come configurare TLS/SSL in SAP HANA 2.0). Per informazioni su come eseguire la migrazione da OpenSSL a CommonCryptoLib, passare a Sap Note 2093286 (s-user required).

Nota

I passaggi di configurazione per la crittografia descritti in questo articolo si sovrappongono ai passaggi di configurazione e configurazione per l'accesso SSO SAML. Usare CommonCryptoLib come provider di crittografia del server HANA e assicurarsi che la scelta di CommonCryptoLib sia coerente tra le configurazioni SAML e di crittografia.

Esistono quattro fasi per abilitare la crittografia per SAP HANA. Queste fasi verranno illustrate in seguito. Altre informazioni: Protezione della comunicazione tra SAP HANA Studio e il server SAP HANA tramite SSL

Usare CommonCryptoLib

Verificare che il server HANA sia configurato per l'uso di CommonCryptoLib come provider di crittografia.

Creare una richiesta di firma del certificato

Creare una richiesta di firma del certificato X509 per il server HANA.

1. Usando SSH, connettersi al computer Linux in cui viene eseguito il server HANA come <sid>adm.

2. Passare alla home directory /usr/sap/<sid>/home/.ssl. Il file con estensione ssl nascosto esiste già se la CA radice è già stata creata.

   Se non si ha già una CA che è possibile usare, è possibile creare manualmente una CA radice seguendo la procedura descritta in Protezione della comunicazione tra SAP HANA Studio e SAP HANA Server tramite SSL.

3. Esegui questo comando:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME con FQDN> "CN=<HOSTNAME con FQDN>"

Questo comando crea una richiesta di firma del certificato e una chiave privata. <Compilare HOSTNAME con FQDN> con il nome host e il nome di dominio completo (FQDN).

Ottenere il certificato firmato

Ottenere il certificato firmato da un'autorità di certificazione (CA) considerata attendibile dai client che si useranno per connettersi al server HANA.

1. Se si dispone già di una CA aziendale attendibile (rappresentata da CA_Cert.pem e CA_Key.pem nell'esempio seguente), firmare la richiesta di certificato eseguendo il comando seguente:

   openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Copiare il nuovo file, cert.pem, nel server.

3. Creare la catena di certificati del server HANA:

   sapgenpse import_own_cert -p cert.pse -c cert.pem

4. Riavviare il server HANA.

5. Verificare la relazione di trust tra un client e la CA usata per firmare il certificato del server SAP HANA.

   Il client deve considerare attendibile la CA usata per firmare il certificato X509 del server HANA prima che sia possibile stabilire una connessione crittografata al server HANA dal computer del client.

   Esistono diversi modi per garantire che questa relazione di trust esista usando Microsoft Management Console (mmc) o la riga di comando. È possibile importare il certificato X509 (cert.pem) della CA nella cartella Autorità di certificazione radice attendibili per l'utente che stabilirà la connessione o nella stessa cartella per il computer client stesso, se necessario.

   

   Prima di poter importare il certificato nella cartella Autorità di certificazione radice attendibili, è necessario convertire cert.pem in un file con estensione crt.

Testare la connessione

Nota

Prima di usare le procedure descritte in questa sezione, è necessario accedere a Power BI usando le credenziali dell'account amministratore.

Prima di poter convalidare un certificato server nella servizio Power BI online, è necessario che sia già configurata un'origine dati per il gateway dati locale. Se non è già stata configurata un'origine dati per testare la connessione, è necessario crearne una. Per configurare l'origine dati nel gateway:

1. Nella servizio Power BI selezionare l'icona di configurazione.

2. Nell'elenco a discesa selezionare Gestisci gateway.

3. Selezionare i puntini di sospensione (...) accanto al nome del gateway che si vuole usare con questo connettore.

4. Nell'elenco a discesa selezionare Aggiungi origine dati.

5. In Origine dati Impostazioni immettere il nome dell'origine dati che si desidera chiamare questa nuova origine nella casella di testo Nome origine dati.

6. In Tipo di origine dati selezionare SAP HANA.

7. Immettere il nome del server in Server e selezionare il metodo di autenticazione.

8. Continuare a seguire le istruzioni riportate nella procedura successiva.

Testare la connessione in Power BI Desktop o nel servizio Power BI.

1. In Power BI Desktop o nella pagina Impostazioni origine dati del servizio Power BI verificare che convalidare il certificato server sia abilitato prima di tentare di stabilire una connessione al server SAP HANA. Per Provider di crittografia SSL selezionare Commoncrypto. Lasciare vuoti i campi dell'archivio chiavi SSL e dell'archivio attendibilità SSL.

   • Power BI Desktop

     

   • Servizio Power BI

     

2. Verificare che sia possibile stabilire correttamente una connessione crittografata al server con l'opzione Convalida certificato server abilitata caricando i dati in Power BI Desktop o aggiornando un report pubblicato in servizio Power BI.

Si noti che sono necessarie solo le informazioni sul provider di crittografia SSL. Tuttavia, l'implementazione potrebbe richiedere anche l'uso dell'archivio chiavi e dell'archivio attendibilità. Per altre informazioni su questi archivi e su come crearli, vedere Proprietà TLS/Connessione SSL lato client (ODBC).

Informazioni aggiuntive

• Proprietà di configurazione TLS/SSL lato server per la comunicazione esterna (JDBC/ODBC)

Passaggi successivi

• Configurare SSL per l'accesso client ODBC a SAP HANA