Share via

啟用SAP HANA的加密

  • 發行項

建議您加密從 Power Query Desktop 和 Power Query Online 連線至 SAP HANA 伺服器的連線。 您可以使用 SAP 的專屬 CommonCryptoLib(先前稱為 sapcrypto) 連結庫來啟用 HANA 加密。 SAP 建議使用 CommonCryptoLib。

注意

SAP 不再支援 OpenSSL,因此,Microsoft 也已停止其支援。 請改用 CommonCryptoLib。

本文提供使用 CommonCryptoLib 啟用加密的概觀,並參考 SAP 檔的某些特定區域。 我們會定期更新內容和連結,但如需完整的指示和支援,請一律參考官方 SAP 檔。 使用 CommonCryptoLib 來設定加密,而不是 OpenSSL;如需執行此動作的步驟,請移至 如何在 SAP HANA 2.0 中設定 TLS/SSL。 如需如何從 OpenSSL 移轉至 CommonCryptoLib 的步驟,請移至 SAP 附注2093286 (需要 s-user)。

注意

本文詳述加密的設定步驟會與SAML SSO的設定和設定步驟重疊。 使用 CommonCryptoLib 作為 HANA 伺服器的加密提供者,並確定您在 SAML 和加密設定之間選擇 CommonCryptoLib 是一致的。

啟用 SAP HANA 加密有四個階段。 接下來我們會討論這些階段。 詳細資訊: 透過 SSL 保護 SAP HANA Studio 與 SAP HANA 伺服器之間的通訊

使用 CommonCryptoLib

請確定您的 HANA 伺服器已設定為使用 CommonCryptoLib 作為其密碼編譯提供者。

OpenSSL 密碼編譯提供者。

建立憑證簽署要求

建立 HANA 伺服器的 X509 憑證簽署要求。

  1. 使用 SSH,連線到 HANA 伺服器以 sid>adm 身分<執行的 Linux 機器。

  2. 移至首頁目錄 /usr/sap/<sid>/home/.ssl。 如果已經建立根 CA,則隱藏的 .ssl 檔案已經存在。

    如果您還沒有可以使用的 CA,您可以遵循透過 SSL 保護 SAP HANA Studio 與 SAP HANA 伺服器之間的通訊中所述的步驟,自行建立根 CA。

  3. 執行以下命令:

    sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME with FQDN> “CN=<HOSTNAME with FQDN>”

此命令會建立憑證簽署要求和私鑰。 以主機名和完整功能變數名稱 (FQDN>) 填入 <HOSTNAME。

取得已簽署的憑證

取得由用戶端信任的證書頒發機構單位 (CA) 簽署的憑證,您將用來連線到 HANA 伺服器。

  1. 如果您已經有信任的公司 CA(由下列範例中的 CA_Cert.pem 和 CA_Key.pem 表示),請執行下列命令來簽署憑證要求:

    openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

  2. 將新的檔案 cert.pem 複製到伺服器。

  3. 建立 HANA 伺服器憑證連結:

    sapgenpse import_own_cert -p cert.pse -c cert.pem

  4. 重新啟動 HANA 伺服器。

  5. 確認用戶端與您用來簽署 SAP HANA 伺服器憑證的 CA 之間的信任關係。

    客戶端必須信任用來簽署 HANA 伺服器 X509 憑證的 CA,才能從客戶端的電腦對 HANA 伺服器進行加密連線。

    使用 Microsoft Management Console (mmc) 或命令行來確保此信任關係存在的各種方式。 您可以將 CA 的 X509 憑證 (cert.pem) 匯入 至將建立連線之使用者的受信任跟證書授權單位 資料夾,或視需要匯入客戶端電腦本身的相同資料夾。

    受信任的跟證書授權單位資料夾。

    您必須先將 cert.pem 轉換成 .crt 檔案,才能將憑證匯入信任的跟證書授權單位資料夾。

測試連線

注意

使用本節中的程式之前,您必須使用您的系統管理員帳戶認證登入 Power BI。

您必須先為內部部署數據閘道設定資料源,才能在線上 Power BI 服務 驗證伺服器證書。 如果您尚未設定數據源來測試連線,則必須建立一個。 若要在閘道上設定資料來源:

  1. 從 Power BI 服務,選取安裝圖示。安裝圖示。

  2. 從下拉式清單中,選取 [ 管理閘道]。

  3. 選取您要搭配此連接器使用的閘道名稱旁邊的省略號 (...)。

  4. 從下拉式清單中,選取 [ 新增數據源]。

  5. [數據源] 設定 中,於 [數據源名稱] 文本框中輸入您要呼叫這個新來源的數據源名稱

  6. [數據源類型] 中,選取 [ SAP HANA]。

  7. 在 [伺服器] 中輸入伺服器名稱,然後選取驗證方法。

  8. 繼續遵循下一個程式中的指示。

在 Power BI Desktop 或 Power BI 服務 中測試連線。

  1. 在 Power BI Desktop 或 Power BI 服務 的 [數據源 設定] 頁面中,先確定已啟用驗證伺服器證書,再嘗試建立 SAP HANA 伺服器的連線。 針對 [SSL 密碼編譯提供者],選取 [commoncrypto]。 將 SSL 金鑰存放區和 SSL 信任存放區欄位保留空白。

    • Power BI Desktop

      驗證伺服器證書 - 服務。

    • Power BI 服務

      驗證伺服器證書 -桌面。

  2. 藉由在Power BI Desktop 中載入數據,或在 Power BI 服務 中重新整理已發佈的報表,確認您已成功建立與已啟用驗證伺服器證書選項的伺服器加密連線。

您會發現只需要 SSL 密碼編譯提供者 資訊。 不過,您的實作可能會要求您也使用密鑰存放區和信任存放區。 如需這些存放區及其建立方式的詳細資訊,請移至用戶端 TLS/SSL 連線 ion 屬性 (ODBC)

其他資訊

下一步