Habilitar criptografia para SAP HANA

Recomendamos que encripta ligações a um servidor SAP HANA a partir do Power Query Desktop e do Power Query Online. Você pode ativar a criptografia HANA usando a biblioteca proprietária CommonCryptoLib (anteriormente conhecida como sapcrypto) da SAP. A SAP recomenda o uso do CommonCryptoLib.

Nota

A SAP não suporta mais o OpenSSL e, como resultado, a Microsoft também descontinuou seu suporte. Use CommonCryptoLib em vez disso.

Este artigo fornece uma visão geral da ativação da criptografia usando CommonCryptoLib e faz referência a algumas áreas específicas da documentação do SAP. Atualizamos o conteúdo e os links periodicamente, mas para obter instruções e suporte abrangentes, consulte sempre a documentação oficial do SAP. Use CommonCryptoLib para configurar a criptografia em vez de OpenSSL; para conhecer as etapas para fazer isso, vá para Como configurar TLS/SSL no SAP HANA 2.0. Para conhecer as etapas sobre como migrar do OpenSSL para o CommonCryptoLib, vá para SAP Note 2093286 (s-user required).

Nota

As etapas de configuração para criptografia detalhadas neste artigo se sobrepõem às etapas de instalação e configuração para SAML SSO. Use CommonCryptoLib como provedor de criptografia do seu servidor HANA e certifique-se de que sua escolha de CommonCryptoLib seja consistente em todas as configurações de SAML e criptografia.

Há quatro fases para habilitar a criptografia para o SAP HANA. Abordaremos estas fases a seguir. Para obter mais informações: Protegendo a comunicação entre o SAP HANA Studio e o SAP HANA Server por meio de SSL

Use CommonCryptoLib

Certifique-se de que seu servidor HANA esteja configurado para usar CommonCryptoLib como seu provedor criptográfico.

Criar uma solicitação de assinatura de certificado

Crie uma solicitação de assinatura de certificado X509 para o servidor HANA.

1. Usando SSH, conecte-se à máquina Linux em que o servidor HANA é executado como <sid>adm.

2. Vá para o diretório Home /usr/sap/<sid>/home/.ssl. O arquivo .ssl oculto já existe se a autoridade de certificação raiz já tiver sido criada.

   Se você ainda não tiver uma autoridade de certificação que possa usar, você mesmo pode criar uma autoridade de certificação raiz seguindo as etapas descritas em Protegendo a comunicação entre o SAP HANA Studio e o SAP HANA Server por meio de SSL.

3. Execute o seguinte comando:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME com FQDN> "CN=<HOSTNAME com FQDN">

Este comando cria uma solicitação de assinatura de certificado e uma chave privada. Preencha <HOSTNAME com FQDN> com o nome do host e nome de domínio totalmente qualificado (FQDN).

Obter o certificado assinado

Obtenha o certificado assinado por uma autoridade de certificação (CA) confiável pelo(s) cliente(s) que você usará para se conectar ao servidor HANA.

1. Se você já tiver uma autoridade de certificação de empresa confiável (representada por CA_Cert.pem e CA_Key.pem no exemplo a seguir), assine a solicitação de certificado executando o seguinte comando:

   openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Copie o novo arquivo, cert.pem, para o servidor.

3. Crie a cadeia de certificados do servidor HANA:

   sapgenpse import_own_cert -p cert.pse -c cert.pem

4. Reinicie o servidor HANA.

5. Verifique a relação de confiança entre um cliente e a autoridade de certificação usada para assinar o certificado do servidor SAP HANA.

   O cliente deve confiar na autoridade de certificação usada para assinar o certificado X509 do servidor HANA antes que uma conexão criptografada possa ser feita com o servidor HANA a partir da máquina do cliente.

   Há várias maneiras de garantir que essa relação de confiança exista usando o MMC (Console de Gerenciamento Microsoft) ou a linha de comando. Você pode importar o certificado X509 da CA (cert.pem) para a pasta Autoridades de Certificação Raiz Confiáveis para o usuário que estabelecerá a conexão, ou para a mesma pasta para a própria máquina cliente, se isso for desejável.

   

   Você deve primeiro converter cert.pem em um arquivo .crt antes de poder importar o certificado para a pasta Autoridades de Certificação Raiz Confiáveis.

Testar a ligação

Nota

Antes de usar os procedimentos nesta seção, você deve entrar no Power BI usando suas credenciais de conta de administrador.

Antes de validar um certificado de servidor no serviço do Power BI online, você deve ter uma fonte de dados já configurada para o gateway de dados local. Se você ainda não tiver uma fonte de dados configurada para testar a conexão, será necessário criar uma. Para configurar a fonte de dados no gateway:

1. No serviço Power BI, selecione o ícone de configuração.

2. Na lista suspensa, selecione Gerenciar gateways.

3. Selecione as reticências (...) ao lado do nome do gateway que você deseja usar com esse conector.

4. Na lista suspensa, selecione Adicionar fonte de dados.

5. Em Configurações da Fonte de Dados, insira o nome da fonte de dados que você deseja chamar essa nova fonte na caixa de texto Nome da Fonte de Dados.

6. Em Tipo de fonte de dados, selecione SAP HANA.

7. Insira o nome do servidor em Servidor e selecione o método de autenticação.

8. Continue seguindo as instruções no próximo procedimento.

Teste a conexão no Power BI Desktop ou no serviço do Power BI.

1. No Power BI Desktop ou na página Configurações da Fonte de Dados do serviço do Power BI, verifique se a opção Validar certificado do servidor está habilitada antes de tentar estabelecer uma conexão com o servidor SAP HANA. Para provedor de criptografia SSL, selecione commoncrypto. Deixe os campos armazenamento de chaves SSL e armazenamento confiável SSL em branco.

   • Power BI Desktop

     

   • Serviço Power BI

     

2. Verifique se você pode estabelecer com êxito uma conexão criptografada com o servidor com a opção Validar certificado do servidor habilitada, carregando dados no Power BI Desktop ou atualizando um relatório publicado no serviço do Power BI.

Você notará que apenas as informações do provedor de criptografia SSL são necessárias. No entanto, sua implementação pode exigir que você também use o armazenamento de chaves e o armazenamento confiável. Para obter mais informações sobre esses repositórios e como criá-los, vá para Propriedades de conexão TLS/SSL do lado do cliente (ODBC).

Informações adicionais

• Propriedades de configuração TLS/SSL do lado do servidor para comunicação externa (JDBC/ODBC)

Próximos passos

• Configurar SSL para acesso de cliente ODBC ao SAP HANA