Konfigurowanie bezpiecznej komunikacji sieciowej

Bezpieczna komunikacja sieciowa (SNC) zwiększa bezpieczeństwo integracji Power Platform SAP, szyfrując dane między lokalną bramą danych a systemem SAP. Ten artykuł przeprowadza przez proces konfigurowania SNC jako weryfikacji koncepcji.

Ważne

Ustawienia i zalecenia przedstawione w tym artykule nie są przeznaczone do użytku produkcyjnego. Skonsultuj się z zespołem ds. zabezpieczeń, zasadami wewnętrznymi i partnerem Microsoft, aby uzyskać wskazówki dotyczące konfigurowania SNC w środowisku produkcyjnym.

Wymagania wstępne

  1. Masz połączenie SAP, które korzysta z łącznika SAP ERP.
  2. Masz dostęp do instancji SAP, którą możesz ponownie uruchomić i zarządzać nią.
  3. Graficzny interfejs użytkownika systemu SAP został zainstalowany i skonfigurowany.
  4. Musisz także znać technologie klucza publicznego i prywatnego.
  5. OpenSSL został zainstalowany i skonfigurowany. Jeśli masz usługę Git dla systemu Windows, dodaj C:\Program Files\Git\usr\bin\ do systemu PATH, aby móc użyć polecenia openssl .

Instalowanie wspólnej biblioteki kryptograficznej SAP

Wspólna biblioteka kryptograficzna SAP umożliwia łącznikowi SAP dla Microsoft .NET (NCo) szyfrowanie komunikacji między lokalną bramą danych a systemem SAP. Aby wyodrębnić bibliotekę, potrzebujesz zastrzeżonego narzędzia dekompresyjnego o nazwie SAPCAR.

Pobierz SAPCAR

  1. Przejdź do Centrum pobierania oprogramowania SAP i zaloguj się przy użyciu poświadczeń SAP.
  2. Wyszukaj SAPCAR i wybierz najnowszą, niezarchiwizowaną wersję.
  3. Wybierz swój system operacyjny.
  4. Pobierz plik .EXE do C:\sap\SAR.

Instalowanie wspólnej biblioteki kryptograficznej SAP

  1. W Centrum pobierania oprogramowania SAP wyszukaj "COMMONCRYPTOLIB" i wybierz najnowszą wersję.
  2. Wybierz swój system operacyjny.
  3. Pobierz plik .SAR z najnowszą datą wydania do C:\sap\SAR.

Ekstrakcja wspólnej biblioteki kryptograficznej SAP

  1. Otwórz PowerShell i przejdź do C:\sap\SAR.

  2. Wprowadź następujące polecenie, zastępując xxxx je wartościami:

    .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib

  3. Upewnij się, że sapgenpse.exe znajduje się w katalogu C:\sap\libs\sapcryptolib .

Wygeneruj certyfikaty

Po zainstalowaniu biblioteki SAP Common Crypto Library wygeneruj certyfikaty w celu ustanowienia zaufania i szyfrowania między lokalną bramą danych a systemem SAP.

Ostrzeżenie

Ta metoda służy tylko do celów demonstracyjnych i nie jest zalecana w przypadku systemów produkcyjnych. W przypadku systemów produkcyjnych skonsultuj się z wewnętrznym zespołem ds. wytycznych lub zabezpieczeń infrastruktury kluczy publicznych.

W tym przykładzie ustrukturyzuj swoje certyfikaty zgodnie z pokazanym na diagramie poniżej. Główny urząd certyfikacji [O=Contoso, CN=Główny urząd certyfikacji] podpisuje certyfikat szyfrowania SNC [O=Contoso, CN=SNC] i certyfikaty użytkownika [O=Contoso, CN=UserIDs]. W tym artykule skoncentrowano się na konfigurowaniu certyfikatów głównego urzędu certyfikacji i SNC.

Diagram przedstawiający przepływ certyfikatów z Urzędu Certyfikacji Root do certyfikatu szyfrowania, certyfikatu podpisy i identyfikatorów użytkowników.

Utwórz certyfikaty

  1. Utwórz strukturę folderu:

    mkdir rootCA
mkdir sncCert

# Create the necessary serial and index files if they don't exist
if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" -ItemType File }
if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

  2. Wygeneruj główny urząd certyfikacji:

    openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

  3. Wygeneruj certyfikaty SNC:

    openssl genrsa -out sncCert/snc.key.pem 2048
openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem -subj "/O=Contoso/CN=SNC"

  4. Utwórz plik sncCert/extensions.cnf konfiguracyjny OpenSSL do podpisania:

    [ v3_leaf ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = critical,CA:false
keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
extendedKeyUsage = clientAuth,emailProtection

  5. Podpisz certyfikat SNC przy użyciu głównego urzędu certyfikacji:

    openssl x509 -req `
   -in sncCert/snc.csr.pem `
   -CA rootCA/ca.cert.pem `
   -CAkey rootCA/ca.key.pem `
   -CAcreateserial `
   -out sncCert/snc.cert.pem `
   -days 3650 `
   -sha256 `
   -extfile sncCert\extensions.cnf `
   -extensions v3_leaf

Tworzenie osobistego bezpiecznego środowiska

Utwórz osobiste bezpieczne środowisko (PSE) dla lokalnej bramy danych. Biblioteka NCo szuka certyfikatu SNC wewnątrz PSE.

  1. Utwórz kontener PKCS#12:

    openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

  2. Utwórz zmienną środowiskową SECUDIR:

    1. Otwórz Właściwości systemu: W Eksploratorze plików kliknij prawym przyciskiem myszy pozycję Ten komputer, a następnie wybierz Właściwości>Zaawansowane ustawienia systemu.
    2. Wybierz opcję Zmienne środowiskowe.
    3. W Zmienne systemu, wybierz Nowe.
    4. Ustaw nazwę zmienną na SECUDIR.
    5. Ustaw wartość na C:\sapsecudir (utwórz ten katalog, jeśli nie istnieje).
    6. Wybierz pozycję OK.
    7. Uruchom ponownie sesję programu PowerShell, aby pobrać tę nową zmienną środowiskową.

  3. Zaimportuj kontener PKCS#12 do PSE:

    C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki-certs\snc.p12

Konfiguruj SAP dla SNC

  1. Zaloguj się do SAP GUI.

  2. Przejdź do kodu transakcji SNC0.

  3. Wprowadź E jako obszar roboczy.

  4. Wybierz pozycję Nowy wpis z górnego paska i wprowadź wymagane informacje.

    Zrzut ekranu graficznego interfejsu użytkownika systemu SAP przedstawiający listę kontroli dostępu dla systemów.

  5. Wybierz opcję Zapisz.

  6. Wróc na stronę główną SAP GUI.

  7. Przejdź do kodu transakcji RZ10.

  8. Ustaw następujące parametry profilu:

    snc/accept_insecure_cpic: 1
snc/accept_insecure_gui: 1
snc/accept_insecure_rfc: 1
snc/enable: 1
snc/extid_login_diag: 1
snc/extid_login_rfc: 1
snc/gssapi_lib: $(SAPCRYPTOLIB)
snc/identity/as: p:CN=ID3, O=Contoso
snc/permit_insecure_start: 1
snc/data_protection/max: 3```

  9. Zapisz parametry profilu i uruchom ponownie system SAP.

Wymiana certyfikatów między systemem SAP a lokalną bramą danych

Aby ustanowić zaufanie, należy wymienić certyfikaty między lokalną bramą danych a systemem SAP.

Dodawanie certyfikatu SNC bramy do systemu SAP

  1. W graficznym interfejsie użytkownika systemu SAP przejdź do kodu transakcji STRUST.
  2. Jeśli SNC SAPCryptolib ma czerwony znak X, kliknij prawym przyciskiem myszy i wybierz polecenie Utwórz.
  3. W przeciwnym przypadku kliknij dwukrotnie SNC SAPCryptolib, a następnie kliknij dwukrotnie Własny Certyfikat.
  4. Wybierz pozycję Importuj certyfikat i wybierz certyfikat sncCert\snc.cert.pem publiczny.
  5. Wybierz pozycję Dodaj do listy certyfikatów.

Dodawanie certyfikatu SAP SNC do lokalnej bramy danych

  1. W graficznym interfejsie użytkownika systemu SAP przejdź do kodu transakcji STRUST.

  2. Kliknij dwukrotnie SNC SAPCryptolib, a następnie kliknij dwukrotnie Własny Certyfikat.

  3. Eksportuj publiczny certyfikat.

  4. Przenieś certyfikat publiczny na maszynę bramy (na przykład, C:\sap\contoso-public-key.crt).

  5. Zaimportuj certyfikat do PSE bramy:

    C:\sap\libs\sapcryptolib\sapgenpse.exe maintain_pk -p SAPSNCSKERB.pse -v -a C:\pki-certs\sncCert\sapkerb.public.cert

Testowanie bezpiecznego połączenia

Postępuj zgodnie z instrukcjami, aby przetestować bezpieczne połączenie. Po pomyślnym zakończeniu testu możesz przystąpić do implementacji SNC w środowisku produkcyjnym.

  1. Utwórz błyskawiczny przepływ w Power Automate.

  2. Dodaj akcję SAP ERP Call Function.

  3. Dodaj następujące parametry SNC do ciągu połączenia SAP:

    {
"AppServerHost": "xxx",
"Client": "xx",
"SystemNumber": "xx",
"LogonType": "ApplicationServer",
"SncLibraryPath": "C:\\sap\\libs\\sapcryptolib\\sapcrypto.dll",
"SncMyName": "p:CN=SNC, O=Contoso",
"SncPartnerName": "p:CN=ID3, O=Contoso",
"SncQop": "Default",
"UseSnc": "true",
"SncSso": "Off"
}```

  4. Przetestuj połączenie za pomocą STFC_CONNECTION funkcji RFC.

    Zrzut ekranu przedstawiający wyniki testu w przepływie Power Automate.

Ważne

Pamiętaj, aby bezpiecznie obsługiwać klucze prywatne i usuwać je po zakończeniu tej konfiguracji.

Następny krok

Konfigurowanie usługi Microsoft Entra ID z certyfikatami na potrzeby logowania jednokrotnego

  • Last updated on