Deli z drugimi prek


Nastavite varne omrežne komunikacije (SNC) za SAP in Microsoft Power Platform

Ta vodnik vas vodi skozi nastavitev varne šifrirane povezave med na mestu uporabe podatkovnim prehodom (OPDG) in SAP z uporabo varnih omrežnih komunikacij (SNC).

Pomembno

Ta članek je samo za nastavitev dokaza koncepta. Nastavitve in priporočila niso namenjeni produkcijski uporabi. Za več informacij o tem tema se za nadaljnja navodila posvetujte s svojo varnostno skupino, notranjimi pravilniki in Microsoftovim partnerjem.

Zahteve

  1. Nastavite povezavo SAP prek vodnika za začetek
  2. Dostop do primerka SAP, ki ga lahko znova zaženete in upravljate
  3. Nameščen in nastavljen SAP GUI
  4. Poznavanje tehnologij javnih in zasebnih ključev.
  5. OpenSSL
    • Če imate Git za Windows, lahko uporabite openssl ukaz tako, da dodate C:\Program Files\Git\usr\bin\ vaši sistem PATH

Namestite SAP Common Crypto Library

SAP Common Crypto Library omogoča NCo šifriranje šifrirane komunikacije med na mestu uporabe podatkovnim prehodom in SAP. Za ekstrahiranje knjižnice potrebujemo lastniški pripomoček za dekompresijo, imenovan SAPCAR.

Pridobite SAPCAR

  1. Pojdite v SAP Software Center.
  2. Poiščite "SAPCAR" in izberite najnovejšo različico, ki ni arhivirana.
  3. Izberite svoj operacijski sistem.
  4. Prenesite datoteko .EXE v C:\sap\SAR.

Pridobite SAP Common Crypto Library

  1. V programskem središču SAP poiščite »COMMONCRYPTOLIB«.
  2. Izberite najnovejšo različico.
  3. Izberite svoj operacijski sistem.
  4. Prenesite datoteko .SAR z najnovejšim datumom izdaje na C:\sap\SAR.

Ekstrahirajte SAP Common Crypto

  1. Odprite PowerShell in pojdite na C:\sap\SAR.
  2. Zaženite naslednji ukaz in njegove dele zamenjajte s svojimi vrednostmi:
    .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib
    
  3. Preverite, ali je sapgenpse.exe v C:\sap\libs\sapcryptolib mapi.

Ustvari potrdila

Certifikat vzpostavi zaupanje in šifriranje med vašim na mestu uporabe podatkovnim prehodom in SAP boxom.

Opozorilo

Ta metoda je za predstavitvene namene in ni priporočljiva za proizvodne sisteme. Za produkcijske sisteme se obrnite na svojo interno PKI ali varnostno skupino za navodila glede certifikatov.

Struktura certifikata

V tem primeru so naši certifikati strukturirani na naslednji način. Ta članek se posebej osredotoča na nastavitev modrih polj.

Diagram poteka demo PKI

Ustvarite certifikate

  1. Nastavite strukturo map:

    mkdir rootCA
    mkdir sncCert
    
    # Create the necessary serial and index files if they don't exist
    if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" -ItemType File }
    if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }
    
  2. Ustvarite korenski CA:

    openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
    openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"
    
  3. Ustvarite potrdilo SNC:

    openssl genrsa -out sncCert/snc.key.pem 2048
    openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem -subj "/O=Contoso/CN=SNC"
    
  4. Ustvarite konfiguracijsko datoteko OpenSSL za podpisovanje: sncCert/extensions.cnf

    [ v3_leaf ]
    subjectKeyIdentifier = hash
    authorityKeyIdentifier = keyid,issuer
    basicConstraints = critical,CA:false
    keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
    extendedKeyUsage = clientAuth,emailProtection
    
  5. Potrdilo SNC podpišite s korenskim CA:

    openssl x509 -req `
       -in sncCert/snc.csr.pem `
       -CA rootCA/ca.cert.pem `
       -CAkey rootCA/ca.key.pem `
       -CAcreateserial `
       -out sncCert/snc.cert.pem `
       -days 3650 `
       -sha256 `
       -extfile sncCert\extensions.cnf `
       -extensions v3_leaf
    

Ustvarite osebno varno okolje

Ustvarite osebno varno okolje (PSE) za na mestu uporabe podatkovni prehod. Knjižnica NCo bo iskala potrdilo SNC znotraj PSE.

  1. Ustvarite vsebnik PKCS#12:

    openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem
    
  2. Nastavite spremenljivko okolja SECUDIR:

    • Odprite sistemske lastnosti (z desno miškino tipko kliknite »Ta računalnik« > Lastnosti > Napredne sistemske nastavitve)
    • Izberite "Spremenljivke okolja"
    • Pod "Sistemske spremenljivke" izberite "Novo"
    • Ime spremenljivke nastavite na "SECUDIR"
    • Nastavite vrednost spremenljivke na "C:\sapsecudir"
    • Izberite "V redu", da shranite
  3. Uvozite vsebnik PKCS#12 v PSE:

    C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki-certs\snc.p12
    

Nastavite SAP za SNC

  1. Prijavite se v SAP GUI.
  2. Pojdite na kodo transakcije SNC0.
  3. Vnesite E kot delovno območje.
  4. Izberite New Entry v zgornji vrstici in izpolnite zahtevane podatke. Zaslon SAP GUI za SNC: seznam nadzora dostopa za sisteme
  5. Izberite ikono "Shrani".
  6. Vrnite se na začetni zaslon SAP GUI.
  7. Pojdite na kodo transakcije RZ10.
  8. Nastavite te parametre profila:
    snc/accept_insecure_cpic: 1
    snc/accept_insecure_gui: 1
    snc/accept_insecure_rfc: 1
    snc/enable: 1
    snc/extid_login_diag: 1
    snc/extid_login_rfc: 1
    snc/gssapi_lib: $(SAPCRYPTOLIB)
    snc/identity/as: p:CN=ID3, O=Contoso
    snc/permit_insecure_start: 1
    snc/data_protection/max: 3
    
  9. Shranite parametre profila in znova zaženite sistem SAP.

Izmenjava certifikatov med SAP in OPDG

Dodajte potrdilo OPDG SNC v SAP

  1. V SAP GUI pojdite na transakcijsko kodo STRUST.

  2. Če ima »SNC SAPCryptolib« rdeč X, kliknite z desno tipko miške in izberite »Ustvari«.

  3. Dvokliknite "SNC SAPCryptolib" in nato dvokliknite svoje lastno potrdilo.

  4. Izberite "Uvozi potrdilo" in izberite svoje sncCert\snc.cert.pem javno potrdilo.

  5. Izberite "Dodaj na seznam potrdil".

    TRUST Dodajte potrdilo

Dodajte potrdilo SAP SNC v OPDG

  1. V SAP GUI pojdite na transakcijsko kodo STRUST.

  2. Dvokliknite "SNC SAPCryptolib" in nato dvokliknite svoje lastno potrdilo.

  3. Izvozite javno potrdilo.

    TRUST Dodajte potrdilo

  4. Premaknite javno potrdilo na svoj stroj OPDG (na primer C:\sap\contoso-public-key.crt).

  5. Uvozite potrdilo v PSE vašega OPDG:

    C:\sap\libs\sapcryptolib\sapgenpse.exe maintain_pk -p SAPSNCSKERB.pse -v -a C:\pki-certs\sncCert\sapkerb.public.cert
    

Preizkusite varno povezavo

  1. Ustvarite nov takojšnji tok v Power Automate.

  2. Dodajte dejanje funkcije klica SAP ERP.

  3. Posodobite niz SAP Connection tako, da vključuje parametre SNC:

    {
    "AppServerHost": "xxx",
    "Client": "xx",
    "SystemNumber": "xx",
    "LogonType": "ApplicationServer",
    "SncLibraryPath": "C:\\sap\\libs\\sapcryptolib\\sapcrypto.dll",
    "SncMyName": "p:CN=SNC, O=Contoso",
    "SncPartnerName": "p:CN=ID3, O=Contoso",
    "SncQop": "Default",
    "UseSnc": "true",
    "SncSso": "Off"
    }
    
  4. Preizkusite povezavo s funkcijo STFC_CONNECTION RFC.

    Preskusi povezavo

Pomembno

Zagotovite varno ravnanje in morebitno brisanje zasebnih ključev po zaključku te nastavitve, da ohranite varnostno celovitost.

Naslednji koraki

Zdaj, ko je SNC vzpostavljen med vašim na mestu uporabe Data Gateway in sistemom SAP, lahko:

Z upoštevanjem tega vodnika vzpostavite popolnoma šifrirano povezavo med vašim na mestu uporabe Data Gateway in sistemom SAP, s čimer povečate varnost vaše integracije SAP z Microsoft Power Platform.