Включение шифрования для SAP HANA

Рекомендуется шифровать подключения к серверу SAP HANA из Power Query Desktop и Power Query Online. Вы можете включить шифрование HANA с помощью собственной библиотеки CommonCryptoLib (прежнее название — sapcrypto). SAP рекомендует использовать CommonCryptoLib.

Примечание.

SAP больше не поддерживает OpenSSL, и в результате корпорация Майкрософт также прекратила свою поддержку. Вместо этого используйте CommonCryptoLib.

В этой статье представлен обзор включения шифрования с помощью CommonCryptoLib и ссылки на некоторые конкретные области документации ПО SAP. Мы периодически обновляем содержимое и ссылки, но полные инструкции и поддержку всегда ссылаются на официальную документацию ПО SAP. Используйте CommonCryptoLib для настройки шифрования вместо OpenSSL; Для этого перейдите к разделу "Настройка TLS/SSL" в SAP HANA 2.0. Инструкции по миграции из OpenSSL в CommonCryptoLib см. в заметке SAP 2093286 (требуется s-user).

Примечание.

Инструкции по настройке шифрования, описанные в этой статье, перекрываются инструкциями по настройке и настройке единого входа SAML. Используйте CommonCryptoLib в качестве поставщика шифрования сервера HANA и убедитесь, что выбор CommonCryptoLib согласован в конфигурациях SAML и шифрования.

Существует четыре этапа включения шифрования для SAP HANA. Далее мы рассмотрим эти этапы. Дополнительные сведения: защита связи между SAP HANA Studio и сервером SAP HANA с помощью SSL

Использование CommonCryptoLib

Убедитесь, что сервер HANA настроен для использования CommonCryptoLib в качестве своего поставщика шифрования.

Создание запроса на подписывание сертификата

Создайте запрос на подпись сертификата X509 для сервера HANA.

1. С помощью SSH подключитесь к компьютеру Linux, на котором работает сервер HANA в качестве <идентификатора>adm.

2. Перейдите в каталог home /usr/sap/sid>/<home/.ssl. Скрытый SSL-файл уже существует, если корневой ЦС уже создан.

   Если у вас еще нет ЦС, вы можете создать корневой ЦС самостоятельно, выполнив действия, описанные в разделе "Защита связи между SAP HANA Studio и сервером SAP HANA через SSL".

3. Выполните следующую команду:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME с FQDN> "CN=<HOSTNAME with FQDN>"

Эта команда создает запрос на подписывание сертификатов и закрытый ключ. <Введите имя HOSTNAME с> полным именем узла и полным доменным именем (FQDN).

Получение подписанного сертификата

Получите сертификат, подписанный центром сертификации (ЦС), доверенным клиентом, который будет использоваться для подключения к серверу HANA.

1. Если у вас уже есть доверенный ЦС компании (представленный CA_Cert.pem и CA_Key.pem в следующем примере), подпишите запрос на сертификат, выполнив следующую команду:

   opensl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Скопируйте новый файл cert.pem на сервер.

3. Создайте цепочку сертификатов сервера HANA:

   sapgenpse import_own_cert -pcert.pse -ccert.pem

4. Перезапустите сервер HANA.

5. Проверьте отношение доверия между клиентом и ЦС, используемым для подписи сертификата сервера SAP HANA.

   Клиент должен доверять ЦС, используемому для подписи сертификата X509 сервера HANA, прежде чем зашифрованное подключение можно будет выполнить на сервере HANA с компьютера клиента.

   Существует несколько способов обеспечить наличие этой связи доверия с помощью консоли управления Майкрософт (mmc) или командной строки. Сертификат ЦС X509 (cert.pem) можно импортировать в папку доверенных корневых центров сертификации для пользователя, который установит подключение или в ту же папку для самого клиентского компьютера, если это желательно.

   

   Прежде чем импортировать сертификат в папку доверенных корневых центров сертификации, необходимо сначала преобразовать cert.pem в CRT-файл.

Проверка подключения

Примечание.

Перед использованием процедур в этом разделе необходимо войти в Power BI с помощью учетных данных учетной записи администратора.

Прежде чем проверить сертификат сервера в служба Power BI в сети, необходимо иметь источник данных, уже настроенный для локального шлюза данных. Если у вас еще нет источника данных, настроенного для проверки подключения, необходимо создать его. Чтобы настроить источник данных на шлюзе, выполните следующие действия.

1. В служба Power BI выберите значок установки.

2. В раскрывающемся списке выберите "Управление шлюзами".

3. Выберите многоточие (...) рядом с именем шлюза, который вы хотите использовать с этим соединителем.

4. В раскрывающемся списке выберите "Добавить источник данных".

5. В Параметры источника данных введите имя источника данных, которое нужно вызвать в текстовом поле "Имя источника данных".

6. В типе источника данных выберите SAP HANA.

7. Введите имя сервера на сервере и выберите метод проверки подлинности.

8. Выполните инструкции, описанные в следующей процедуре.

Проверьте подключение в Power BI Desktop или служба Power BI.

1. В Power BI Desktop или на странице источника данных Параметры служба Power BI убедитесь, что перед попыткой установить подключение к серверу SAP HANA включен сертификат сервера. Для поставщика шифрования SSL выберите commoncrypto. Оставьте поле хранилища ключей SSL и хранилища доверия SSL пустыми.

   • Power BI Desktop

     

   • Служба Power BI

     

2. Убедитесь, что вы можете успешно установить зашифрованное подключение к серверу с включенным параметром "Проверить сертификат сервера", загрузив данные в Power BI Desktop или обновив опубликованный отчет в служба Power BI.

Обратите внимание, что требуются только сведения о поставщике шифрования SSL. Однако для реализации может потребоваться также использовать хранилище ключей и хранилище доверия. Дополнительные сведения об этих хранилищах и их создании см. в разделе "Свойства Подключение ПРОТОКОЛА TLS/SSL на стороне клиента" (ODBC).

Дополнительная информация:

• Свойства конфигурации TLS/SSL на стороне сервера для внешнего взаимодействия (JDBC/ODBC)

Следующие шаги

• Настройка SSL для доступа клиента ODBC к SAP HANA