Nastavite varne omrežne komunikacije (SNC) za SAP in Microsoft Power Platform
Ta vodnik vas vodi skozi nastavitev varne šifrirane povezave med na mestu uporabe podatkovnim prehodom (OPDG) in SAP z uporabo varnih omrežnih komunikacij (SNC).
Pomembno
Ta članek je samo za nastavitev dokaza koncepta. Nastavitve in priporočila niso namenjeni produkcijski uporabi. Za več informacij o tem tema se za nadaljnja navodila posvetujte s svojo varnostno skupino, notranjimi pravilniki in Microsoftovim partnerjem.
Zahteve
- Nastavite povezavo SAP prek vodnika za začetek
- Dostop do primerka SAP, ki ga lahko znova zaženete in upravljate
- Nameščen in nastavljen SAP GUI
- Poznavanje tehnologij javnih in zasebnih ključev.
- OpenSSL
- Če imate Git za Windows, lahko uporabite
openssl
ukaz tako, da dodateC:\Program Files\Git\usr\bin\
vaši sistem PATH
- Če imate Git za Windows, lahko uporabite
Namestite SAP Common Crypto Library
SAP Common Crypto Library omogoča NCo šifriranje šifrirane komunikacije med na mestu uporabe podatkovnim prehodom in SAP. Za ekstrahiranje knjižnice potrebujemo lastniški pripomoček za dekompresijo, imenovan SAPCAR
.
Pridobite SAPCAR
- Pojdite v SAP Software Center.
- Poiščite "SAPCAR" in izberite najnovejšo različico, ki ni arhivirana.
- Izberite svoj operacijski sistem.
- Prenesite datoteko .EXE v
C:\sap\SAR
.
Pridobite SAP Common Crypto Library
- V programskem središču SAP poiščite »COMMONCRYPTOLIB«.
- Izberite najnovejšo različico.
- Izberite svoj operacijski sistem.
- Prenesite datoteko .SAR z najnovejšim datumom izdaje na
C:\sap\SAR
.
Ekstrahirajte SAP Common Crypto
- Odprite PowerShell in pojdite na
C:\sap\SAR
. - Zaženite naslednji ukaz in njegove dele zamenjajte s svojimi vrednostmi:
.\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib
- Preverite, ali je
sapgenpse.exe
vC:\sap\libs\sapcryptolib
mapi.
Ustvari potrdila
Certifikat vzpostavi zaupanje in šifriranje med vašim na mestu uporabe podatkovnim prehodom in SAP boxom.
Opozorilo
Ta metoda je za predstavitvene namene in ni priporočljiva za proizvodne sisteme. Za produkcijske sisteme se obrnite na svojo interno PKI ali varnostno skupino za navodila glede certifikatov.
Struktura certifikata
V tem primeru so naši certifikati strukturirani na naslednji način. Ta članek se posebej osredotoča na nastavitev modrih polj.
Ustvarite certifikate
Nastavite strukturo map:
mkdir rootCA mkdir sncCert # Create the necessary serial and index files if they don't exist if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" -ItemType File } if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }
Ustvarite korenski CA:
openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048 openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"
Ustvarite potrdilo SNC:
openssl genrsa -out sncCert/snc.key.pem 2048 openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem -subj "/O=Contoso/CN=SNC"
Ustvarite konfiguracijsko datoteko OpenSSL za podpisovanje:
sncCert/extensions.cnf
[ v3_leaf ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid,issuer basicConstraints = critical,CA:false keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment extendedKeyUsage = clientAuth,emailProtection
Potrdilo SNC podpišite s korenskim CA:
openssl x509 -req ` -in sncCert/snc.csr.pem ` -CA rootCA/ca.cert.pem ` -CAkey rootCA/ca.key.pem ` -CAcreateserial ` -out sncCert/snc.cert.pem ` -days 3650 ` -sha256 ` -extfile sncCert\extensions.cnf ` -extensions v3_leaf
Ustvarite osebno varno okolje
Ustvarite osebno varno okolje (PSE) za na mestu uporabe podatkovni prehod. Knjižnica NCo bo iskala potrdilo SNC znotraj PSE.
Ustvarite vsebnik PKCS#12:
openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem
Nastavite spremenljivko okolja SECUDIR:
- Odprite sistemske lastnosti (z desno miškino tipko kliknite »Ta računalnik« > Lastnosti > Napredne sistemske nastavitve)
- Izberite "Spremenljivke okolja"
- Pod "Sistemske spremenljivke" izberite "Novo"
- Ime spremenljivke nastavite na "SECUDIR"
- Nastavite vrednost spremenljivke na "C:\sapsecudir"
- Izberite "V redu", da shranite
Uvozite vsebnik PKCS#12 v PSE:
C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki-certs\snc.p12
Nastavite SAP za SNC
- Prijavite se v SAP GUI.
- Pojdite na kodo transakcije
SNC0
. - Vnesite
E
kot delovno območje. - Izberite
New Entry
v zgornji vrstici in izpolnite zahtevane podatke. - Izberite ikono "Shrani".
- Vrnite se na začetni zaslon SAP GUI.
- Pojdite na kodo transakcije RZ10.
- Nastavite te parametre profila:
snc/accept_insecure_cpic: 1 snc/accept_insecure_gui: 1 snc/accept_insecure_rfc: 1 snc/enable: 1 snc/extid_login_diag: 1 snc/extid_login_rfc: 1 snc/gssapi_lib: $(SAPCRYPTOLIB) snc/identity/as: p:CN=ID3, O=Contoso snc/permit_insecure_start: 1 snc/data_protection/max: 3
- Shranite parametre profila in znova zaženite sistem SAP.
Izmenjava certifikatov med SAP in OPDG
Dodajte potrdilo OPDG SNC v SAP
V SAP GUI pojdite na transakcijsko kodo STRUST.
Če ima »SNC SAPCryptolib« rdeč X, kliknite z desno tipko miške in izberite »Ustvari«.
Dvokliknite "SNC SAPCryptolib" in nato dvokliknite svoje lastno potrdilo.
Izberite "Uvozi potrdilo" in izberite svoje
sncCert\snc.cert.pem
javno potrdilo.Izberite "Dodaj na seznam potrdil".
Dodajte potrdilo SAP SNC v OPDG
V SAP GUI pojdite na transakcijsko kodo STRUST.
Dvokliknite "SNC SAPCryptolib" in nato dvokliknite svoje lastno potrdilo.
Izvozite javno potrdilo.
Premaknite javno potrdilo na svoj stroj OPDG (na primer
C:\sap\contoso-public-key.crt
).Uvozite potrdilo v PSE vašega OPDG:
C:\sap\libs\sapcryptolib\sapgenpse.exe maintain_pk -p SAPSNCSKERB.pse -v -a C:\pki-certs\sncCert\sapkerb.public.cert
Preizkusite varno povezavo
Ustvarite nov takojšnji tok v Power Automate.
Dodajte dejanje funkcije klica SAP ERP.
Posodobite niz SAP Connection tako, da vključuje parametre SNC:
{ "AppServerHost": "xxx", "Client": "xx", "SystemNumber": "xx", "LogonType": "ApplicationServer", "SncLibraryPath": "C:\\sap\\libs\\sapcryptolib\\sapcrypto.dll", "SncMyName": "p:CN=SNC, O=Contoso", "SncPartnerName": "p:CN=ID3, O=Contoso", "SncQop": "Default", "UseSnc": "true", "SncSso": "Off" }
Preizkusite povezavo s funkcijo
STFC_CONNECTION
RFC.
Pomembno
Zagotovite varno ravnanje in morebitno brisanje zasebnih ključev po zaključku te nastavitve, da ohranite varnostno celovitost.
Naslednji koraki
Zdaj, ko je SNC vzpostavljen med vašim na mestu uporabe Data Gateway in sistemom SAP, lahko:
- Implementirajte SNC v svoje proizvodno okolje
- Več o Microsoft Entra ID-ju z uporabo potrdil (preverjanje pristnosti uporabnika X.509) za SAP
Z upoštevanjem tega vodnika vzpostavite popolnoma šifrirano povezavo med vašim na mestu uporabe Data Gateway in sistemom SAP, s čimer povečate varnost vaše integracije SAP z Microsoft Power Platform.