Povolenie šifrovania pre SAP HANA
Odporúčame vám šifrovať pripojenia k serveru SAP Hana z aplikácie Power Query Desktop a doplnku Power Query Online. Šifrovanie Hana môžete povoliť tak, že použijete vlastnícku knižnicu CommonCryptoLib spoločnosti SAP (predtým známu ako sapcrypto). SAP odporúča používať knižnicu CommonCryptoLib.
Poznámka
SAP už nepodporuje knižnicu OpenSSL, v dôsledku čoho spoločnosť Microsoft prerušila jeho podporu. Namiesto toho použite knižnicu CommonCryptoLib.
Tento článok poskytuje prehľad o povolení šifrovania pomocou knižnice CommonCryptoLib a odkazuje na niektoré konkrétne oblasti dokumentácie SAP. Pravidelne aktualizujeme obsah a prepojenia, ale pre komplexné pokyny a podporu sa vždy pozrite na oficiálnu dokumentáciu SAP. Použitie knižnice CommonCryptoLib na nastavenie šifrovania namiesto OpenSSL; V časti Konfigurácia protokolu TLS/SSL v platforme SAP HANA 2.0 prejdite na kroky. Kroky na migráciu z knižnice OpenSSL do knižnice CommonCryptoLib nájdete v časti Poznámka systému SAP 2093286 (vyžaduje sa konto s-user).
Poznámka
Kroky nastavenia pre šifrovanie, ktoré sú podrobne popísané v tomto článku, sa prekrývajú s krokmi nastavenia a konfigurácie pre jediné prihlásenie SAML. Ako poskytovateľa šifrovania servera Hana použite knižnicu CommonCryptoLib a uistite sa, že výber knižnice CommonCryptoLib je konzistentný v rámci konfigurácií SAML a šifrovania.
Pri SAP HANA sú k dispozícii štyri fázy umožňujúce šifrovanie. Tieto fázy teraz pokryjeme. Ďalšie informácie: Zabezpečenie komunikácie medzi štúdiom SAP Hana a serverom SAP Hana prostredníctvom protokolu SSL
Použitie knižnice CommonCryptoLib
Uistite sa, že server Hana je nakonfigurovaný tak, aby používal Knižnicu CommonCryptoLib ako svojho kryptografický poskytovateľa.
Vytvorenie žiadosti o podpísanie certifikátu
Vytvorte si žiadosť o podpísanie certifikátu X509 pre server Hana.
Pomocou SSH sa pripojte k počítaču s Linuxom, ktorý server Hana spúšťa ako <sid>adm.
Prejdite do domovského adresára /usr/sap/<sid>/home/.ssl. Skrytý .ssl súbor už existuje, ak koreňová certifikačná autorita (CA) už bola vytvorená.
Ak ešte nemáte certifikačnú autoritu (CA), môžete si vytvoriť koreňovú certifikačnú autoritu (CA) podľa krokov uvedených v časti Zabezpečenie komunikácie medzi štúdiom SAP Hana a serverom SAP Hana prostredníctvom protokolu SSL.
Spustite nasledujúci príkaz:
sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME s názvom FQDN> "CN=<HOSTNAME s úplným> názvom domény"
Tento príkaz vytvorí žiadosť o podpísanie certifikátu a súkromný kľúč. Ako názov hostiteľa zadajte <úplný názov domény (FQDN> ) a zadajte názov hostiteľa.
Podpísanie certifikátu
Získajte certifikát podpísaný certifikačnou autoritou (CA) overenou klientmi, ktorý použijete na pripojenie k serveru Hana.
Ak už máte v spoločnosti dôveryhodnú CA (v nasledujúcom príklade reprezentovanú ako CA_Cert.pem a CA_Key.pem), podpíšte žiadosť o certifikát spustením nasledujúceho príkazu:
openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem
Skopírujte nový súbor cert.pem na server.
Vytvorte certifikačnú reťaz servera Hana:
sapgenpse import_own_cert -p cert.pse -cert.pem
Reštartujte server Hana.
Overte vzťah dôvery medzi klientom a CA, ktorú ste použili na podpísanie certifikátu servera SAP Hana.
Pred vytvorením zašifrovaného pripojenia na server Hana z počítača klienta, musí klient dôverovať CA, ktorá sa použila na podpísanie certifikátu X509 servera Hana.
Existuje niekoľko spôsobov ako zabezpečiť tento vzťah dôveryhodnosti pomocou konzoly MMC (Microsoft Management Console) alebo pomocou príkazového riadka. Certifikát X509 certifikačnej autority (cert.pem) môžete importovať do priečinka dôveryhodných koreňových certifikačných autorít pre používateľa, ktorý vytvorí pripojenie, alebo do rovnakého priečinka pre samotný počítač klienta, ak je to žiaduce.
Skôr než budete môcť importovať certifikát do priečinka dôveryhodných koreňových certifikačných autorít, musíte najprv skonvertovať súbor cert.pem do súboru .crt.
Testovanie pripojenia
Poznámka
Pred použitím postupov v tejto časti musíte byť prihlásení do služby Power BI pomocou prihlasovacích údajov konta správcu.
Pred overovaním certifikátu servera v služba Power BI online musíte mať pre lokálnu bránu údajov už nastavený zdroj údajov. Ak ešte nemáte zdroj údajov nastavený na otestovanie pripojenia, budete ho musieť vytvoriť. Nastavenie zdroja údajov v bráne:
Na služba Power BI vyberte
ikonu nastavenia.V rozbaľovacom zozname vyberte položku Spravovať brány.
Vyberte tri bodky (...) vedľa názvu brány, ktorú chcete použiť s týmto konektorom.
V rozbaľovacom zozname vyberte položku Pridať zdroj údajov.
Do poľa Nastavenia Zdroj údajov zadajte názov zdroja údajov, ktorý chcete volať tento nový zdroj, do textového poľa Názov zdroja údajov.
V časti Typ zdroja údajov vyberte položku SAP HANA.
Zadajte názov servera a vyberte metódu overovania.
Pokračujte podľa pokynov v ďalšom postupe.
Otestujte pripojenie v aplikácii Power BI Desktop alebo služba Power BI.
Pred pokusom o vytvorenie pripojenia k serveru SAP Hana skontrolujte v aplikácii Power BI Desktop alebo na stránke Nastavenia zdroja údajov služba Power BI, či je platný certifikát servera zapnutý. Pre poskytovateľa šifrovania SSL vyberte položku commoncrypto. Nechajte ukladací priestor kľúčov SSL a polia ukladacieho priestoru SSL prázdne.
Power BI Desktop
Služba Power BI
Overte, či je možné úspešne vytvoriť šifrované pripojenie na server so zapnutou možnosťou Overiť certifikát servera, načítaním údajov v Power BI Desktop alebo obnovením publikovanej zostavy v službe služba Power BI.
Všimnite si, že sa vyžadujú iba informácie o poskytovateľovi kryptografických služieb SSL. Vaša implementácia však môže vyžadovať, aby ste používali aj kľúčový ukladací priestor a ukladací priestor dôveryhodných kľúčov. Ďalšie informácie o týchto obchodoch a spôsobe ich vytvárania nájdete v téme Protokol TLS/SSL na strane klienta Pripojenie vlastnosti (ODBC).