Включение шифрования для SAP HANA

Рекомендуется шифровать подключения к серверу SAP HANA из Power Query Desktop и Power Query Online. Вы можете включить шифрование HANA с помощью собственной библиотеки CommonCryptoLib (прежнее название — sapcrypto). SAP рекомендует использовать CommonCryptoLib.

В этой статье представлен обзор включения шифрования с помощью CommonCryptoLib и ссылки на некоторые конкретные области документации ПО SAP. Мы периодически обновляем содержимое и ссылки, но для получения полных инструкций и поддержки всегда обращайтесь к официальной документации SAP. Используйте CommonCryptoLib для настройки шифрования вместо OpenSSL; Для этого перейдите к разделу "Настройка TLS/SSL" в SAP HANA 2.0. Инструкции по миграции из OpenSSL в CommonCryptoLib см. в заметке SAP 2093286 (требуется s-user).

Существует четыре этапа включения шифрования для SAP HANA. Далее мы рассмотрим эти этапы. Дополнительные сведения: защита связи между SAP HANA Studio и сервером SAP HANA с помощью SSL

Использование CommonCryptoLib

Убедитесь, что сервер HANA настроен для использования CommonCryptoLib в качестве своего поставщика шифрования.

Создание запроса на подпись сертификата

Создайте запрос на подпись сертификата X509 для сервера HANA.

1. С помощью SSH подключитесь к компьютеру Linux, на котором работает сервер HANA, под учетной записью <sid>adm.

2. Перейдите в домашний каталог /usr/sap/<sid>/home/.ssl. Скрытый SSL-файл уже существует, если корневой ЦС уже создан.

   Если у вас еще нет ЦС, вы можете создать корневой ЦС самостоятельно, выполнив действия, описанные в разделе "Защита связи между SAP HANA Studio и сервером SAP HANA через SSL".

3. Выполните следующую команду:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME с FQDN> "CN=<HOSTNAME с FQDN>"

Эта команда создает запрос на подписывание сертификатов и закрытый ключ. < Заполните HOSTNAME> с полным именем хоста и полным доменным именем (FQDN).

Получение подписанного сертификата

Получите сертификат, подписанный центром сертификации (ЦС), которому доверяет клиент, используемый для подключения к серверу HANA.

1. Если у вас уже есть доверенный ЦС компании (представленный CA_Cert.pem и CA_Key.pem в следующем примере), подпишите запрос на сертификат, выполнив следующую команду:

   openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Скопируйте новый файл cert.pem на сервер.

3. Создайте цепочку сертификатов сервера HANA:

   sapgenpse import_own_cert -p cert.pse -c cert.pem

4. Перезапустите сервер HANA.

5. Проверьте отношение доверия между клиентом и ЦС, используемым для подписи сертификата сервера SAP HANA.

   Клиент должен доверять ЦС, используемому для подписи сертификата X509 сервера HANA, прежде чем можно будет установить зашифрованное соединение с сервером HANA с компьютера клиента.

   Существует несколько способов обеспечить наличие этой связи доверия с помощью консоли управления Майкрософт (mmc) или командной строки. Сертификат ЦС X509 (cert.pem) можно импортировать в папку доверенных корневых центров сертификации для пользователя, устанавливающего подключение, или в ту же папку для самого клиентского компьютера, если это желательно.

   

   Прежде чем импортировать сертификат в папку доверенных корневых центров сертификации, необходимо сначала преобразовать cert.pem в CRT-файл.

Проверка подключения

Прежде чем проверить сертификат сервера в службе Power BI в Сети, необходимо иметь источник данных, уже настроенный для локального шлюза данных. Если у вас еще нет источника данных, настроенного для проверки подключения, необходимо создать его. Чтобы настроить источник данных на шлюзе, выполните следующие действия.

1. В службе Power BI выберите значок настроек.

2. В раскрывающемся списке выберите "Управление шлюзами".

3. Выберите многоточие (...) рядом с именем шлюза, который вы хотите использовать с этим соединителем.

4. В раскрывающемся списке выберите "Добавить источник данных".

5. В параметрах источника данных введите имя источника данных, которое нужно вызвать в текстовом поле "Имя источника данных ".

6. В типе источника данных выберите SAP HANA.

7. Введите имя сервера на сервере и выберите метод проверки подлинности.

8. Выполните инструкции, описанные в следующей процедуре.

Проверьте подключение в Power BI Desktop или службе Power BI.

1. В Power BI Desktop или на странице параметров источника данных службы Power BI убедитесь, что перед попыткой установить подключение к серверу SAP HANA включен сертификат сервера . Для поставщика шифрования SSL выберите commoncrypto. Оставьте поле хранилища ключей SSL и хранилища доверия SSL пустыми.

   Замечание

   Опция оставить поля хранилища ключей SSL и хранилища доверия SSL пустыми применяется только к устаревшим поставщикам шифрования, таким как mscrypto или OpenSSL, которые не рекомендуются SAP. При использовании рекомендуемого sap CommonCryptoLib (sapcrypto) необходимо предоставить хранилище ключей на основе PSE и соответствующее хранилище доверия, необходимое для CommonCryptoLib. Эти поля нельзя оставить пустыми с помощью CommonCryptoLib.

   • настольная версия Power BI

     

   • Служба Power BI

     

2. Убедитесь, что вы можете успешно установить зашифрованное подключение к серверу с включенным параметром "Проверить сертификат сервера ", загрузив данные в Power BI Desktop или обновив опубликованный отчет в службе Power BI.

Обратите внимание, что требуются только сведения о поставщике шифрования SSL . Однако для реализации может потребоваться также использовать хранилище ключей и хранилище доверия. Дополнительные сведения об этих хранилищах и их создании см. в разделеClient-Side свойства подключения TLS/SSL (ODBC).

Дополнительные сведения

• Server-Side свойства конфигурации TLS/SSL для внешнего взаимодействия (JDBC/ODBC)

Связанный контент

• Настройка SSL для доступа клиента ODBC к SAP HANA