Aktivera kryptering för SAP HANA
Vi rekommenderar att du krypterar anslutningar till en SAP HANA-server från Power Query Desktop och Power Query Online. Du kan aktivera HANA-kryptering med hjälp av SAP:s egenutvecklade CommonCryptoLib-bibliotek (tidigare kallat sapcrypto). SAP rekommenderar att du använder CommonCryptoLib.
Kommentar
SAP har inte längre stöd för OpenSSL, och därför har Microsoft också avbrutit sin support. Använd CommonCryptoLib i stället.
Den här artikeln innehåller en översikt över hur du aktiverar kryptering med CommonCryptoLib och refererar till vissa specifika områden i SAP-dokumentationen. Vi uppdaterar innehåll och länkar regelbundet, men för omfattande instruktioner och support, se alltid den officiella SAP-dokumentationen. Använd CommonCryptoLib för att konfigurera kryptering i stället för OpenSSL. För steg att göra det går du till Så här konfigurerar du TLS/SSL i SAP HANA 2.0. Anvisningar om hur du migrerar från OpenSSL till CommonCryptoLib finns i SAP Note 2093286 (s-användare krävs).
Kommentar
Installationsstegen för kryptering som beskrivs i den här artikeln överlappar konfigurationsstegen för SAML SSO. Använd CommonCryptoLib som HANA-serverns krypteringsprovider och se till att ditt val av CommonCryptoLib är konsekvent i SAML- och krypteringskonfigurationer.
Det finns fyra faser för att aktivera kryptering för SAP HANA. Vi går igenom de här faserna härnäst. Mer information: Skydda kommunikationen mellan SAP HANA Studio och SAP HANA Server via SSL
Använda CommonCryptoLib
Kontrollera att HANA-servern är konfigurerad för att använda CommonCryptoLib som kryptografiprovider.
Skapa en begäran om certifikatsignering
Skapa en X509-certifikatsigneringsbegäran för HANA-servern.
Anslut till den Linux-dator som HANA-servern körs på som <sid>adm med hjälp av SSH.
Gå till hemkatalogen /usr/sap/<sid>/home/.ssl. Den dolda .ssl-filen finns redan om rotcertifikatutfärdare redan har skapats.
Om du inte redan har en certifikatutfärdare som du kan använda kan du skapa en rotcertifikatutfärdare själv genom att följa stegen som beskrivs i Skydda kommunikationen mellan SAP HANA Studio och SAP HANA Server via SSL.
Kör följande kommando:
sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME med FQDN> "CN=<HOSTNAME with FQDN>"
Det här kommandot skapar en begäran om certifikatsignering och en privat nyckel. Fyll i <HOSTNAME med FQDN> med värdnamnet och det fullständigt kvalificerade domännamnet (FQDN).
Hämta certifikatet signerat
Hämta certifikatet signerat av en certifikatutfärdare (CA) som är betrodd av de klienter som du använder för att ansluta till HANA-servern.
Om du redan har en betrodd företagscertifikatutfärdare (representerad av CA_Cert.pem och CA_Key.pem i följande exempel) signerar du certifikatbegäran genom att köra följande kommando:
openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem
Kopiera den nya filen cert.pem till servern.
Skapa HANA-servercertifikatkedjan:
sapgenpse import_own_cert -p cert.pse -c cert.pem
Starta om HANA-servern.
Kontrollera förtroenderelationen mellan en klient och certifikatutfärdaren som du använde för att signera SAP HANA-serverns certifikat.
Klienten måste lita på certifikatutfärdaren som används för att signera HANA-serverns X509-certifikat innan en krypterad anslutning kan göras till HANA-servern från klientens dator.
Det finns olika sätt att se till att den här förtroenderelationen finns med hjälp av Microsoft Management Console (mmc) eller kommandoraden. Du kan importera certifikatutfärdarcertifikatets X509-certifikat (cert.pem) till mappen Betrodda rotcertifikatutfärdare för den användare som upprättar anslutningen, eller till samma mapp för själva klientdatorn, om det är önskvärt.
Du måste först konvertera cert.pem till en .crt-fil innan du kan importera certifikatet till mappen Betrodda rotcertifikatutfärdare.
Testa anslutningen
Kommentar
Innan du använder procedurerna i det här avsnittet måste du vara inloggad på Power BI med dina autentiseringsuppgifter för administratörskontot.
Innan du kan verifiera ett servercertifikat i Power BI-tjänst online måste du redan ha en datakälla konfigurerad för den lokala datagatewayen. Om du inte redan har konfigurerat en datakälla för att testa anslutningen måste du skapa en. Så här konfigurerar du datakällan på gatewayen:
Från Power BI-tjänst väljer du installationsikonen
.I listrutan väljer du Hantera gatewayer.
Välj ellipsen (...) bredvid namnet på den gateway som du vill använda med den här anslutningsappen.
I listrutan väljer du Lägg till datakälla.
I Inställningar för datakälla anger du det namn på datakällan som du vill anropa den nya källan i textrutan Namn på datakälla.
I Datakällans typ väljer du SAP HANA.
Ange servernamnet i Server och välj autentiseringsmetod.
Fortsätt att följa anvisningarna i nästa procedur.
Testa anslutningen i Power BI Desktop eller Power BI-tjänst.
I Power BI Desktop eller på sidan Datakälla Inställningar i Power BI-tjänst kontrollerar du att Verifiera servercertifikat är aktiverat innan du försöker upprätta en anslutning till SAP HANA-servern. För SSL-kryptoprovider väljer du commoncrypto. Lämna fälten för SSL-nyckelarkivet och SSL-förtroendearkivet tomma.
Power BI Desktop
Power BI-tjänsten
Kontrollera att du kan upprätta en krypterad anslutning till servern med alternativet Verifiera servercertifikat aktiverat genom att läsa in data i Power BI Desktop eller uppdatera en publicerad rapport i Power BI-tjänst.
Observera att endast SSL-kryptoproviderinformation krävs. Implementeringen kan dock kräva att du även använder nyckelarkivet och förtroendearkivet. Mer information om dessa butiker och hur du skapar dem finns i TLS/SSL-Anslut ionsegenskaper (ODBC) på klientsidan.