Versleuteling inschakelen voor SAP HANA
U wordt aangeraden verbindingen met een SAP HANA-server te versleutelen vanuit Power Query Desktop en Power Query Online. U kunt HANA-versleuteling inschakelen met behulp van de eigen CommonCryptoLib-bibliotheek (voorheen sapcrypto) van SAP. SAP raadt het gebruik van CommonCryptoLib aan.
Notitie
SAP biedt geen ondersteuning meer voor openSSL, en daarom heeft Microsoft ook de ondersteuning stopgezet. Gebruik in plaats daarvan CommonCryptoLib.
Dit artikel bevat een overzicht van het inschakelen van versleuteling met Behulp van CommonCryptoLib en verwijst naar een aantal specifieke gebieden van de SAP-documentatie. We werken inhoud en koppelingen regelmatig bij, maar voor uitgebreide instructies en ondersteuning raadpleegt u altijd de officiƫle SAP-documentatie. CommonCryptoLib gebruiken om versleuteling in te stellen in plaats van OpenSSL; Voor de stappen hiervoor gaat u naar TLS/SSL configureren in SAP HANA 2.0. Ga naar SAP Note 2093286 (s-user required) voor stappen voor het migreren van OpenSSL naar CommonCryptoLib.
Notitie
De installatiestappen voor versleuteling die in dit artikel worden beschreven, overlappen met de installatie- en configuratiestappen voor SAML SSO. Gebruik CommonCryptoLib als versleutelingsprovider van uw HANA-server en zorg ervoor dat uw keuze voor CommonCryptoLib consistent is in SAML- en versleutelingsconfiguraties.
Er zijn vier fasen voor het inschakelen van versleuteling voor SAP HANA. We behandelen deze fasen hierna. Meer informatie: De communicatie tussen SAP HANA Studio en SAP HANA Server beveiligen via SSL
CommonCryptoLib gebruiken
Zorg ervoor dat uw HANA-server is geconfigureerd voor het gebruik van CommonCryptoLib als cryptografische provider.
Een aanvraag voor certificaatondertekening maken
Maak een X509-aanvraag voor certificaatondertekening voor de HANA-server.
Maak met behulp van SSH verbinding met de Linux-machine waarop de HANA-server wordt uitgevoerd als <sid>adm.
Ga naar de basismap /usr/sap/<sid>/home/.ssl. Het verborgen SSL-bestand bestaat al als de basis-CA al is gemaakt.
Als u nog geen CA hebt die u kunt gebruiken, kunt u zelf een basis-CA maken door de stappen te volgen die worden beschreven in De communicatie tussen SAP HANA Studio en SAP HANA Server beveiligen via SSL.
Voer de volgende opdracht uit:
sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME met FQDN> "CN=<HOSTNAME met FQDN>"
Met deze opdracht maakt u een aanvraag voor certificaatondertekening en een persoonlijke sleutel. <Vul HOSTNAME in met FQDN> met de hostnaam en FQDN (Fully Qualified Domain Name).
Het certificaat ophalen dat is ondertekend
Haal het certificaat op dat is ondertekend door een certificeringsinstantie (CA) die wordt vertrouwd door de client(s) die u gebruikt om verbinding te maken met de HANA-server.
Als u al een vertrouwde bedrijfs-CA hebt (vertegenwoordigd door CA_Cert.pem en CA_Key.pem in het volgende voorbeeld), ondertekent u de certificaataanvraag door de volgende opdracht uit te voeren:
openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem
Kopieer het nieuwe bestand, cert.pem, naar de server.
Maak de certificaatketen van de HANA-server:
sapgenpse import_own_cert -p cert.pse -c cert.pem
Start de HANA-server opnieuw op.
Controleer de vertrouwensrelatie tussen een client en de CA die u hebt gebruikt om het certificaat van de SAP HANA-server te ondertekenen.
De client moet de CA vertrouwen die wordt gebruikt om het X509-certificaat van de HANA-server te ondertekenen voordat een versleutelde verbinding kan worden gemaakt met de HANA-server vanaf de computer van de client.
Er zijn verschillende manieren om ervoor te zorgen dat deze vertrouwensrelatie bestaat met behulp van Microsoft Management Console (mmc) of de opdrachtregel. U kunt het X509-certificaat van de CA (cert.pem) importeren in de map Vertrouwde basiscertificeringsinstanties voor de gebruiker die de verbinding tot stand brengt, of in dezelfde map voor de clientcomputer zelf, indien gewenst.
U moet eerst cert.pem converteren naar een CRT-bestand voordat u het certificaat kunt importeren in de map Vertrouwde basiscertificeringsinstanties.
Test de verbinding
Notitie
Voordat u de procedures in deze sectie gebruikt, moet u zijn aangemeld bij Power BI met uw beheerdersaccountreferenties.
Voordat u een servercertificaat in de Power BI-service online kunt valideren, moet u een gegevensbron hebben die al is ingesteld voor de on-premises gegevensgateway. Als u nog geen gegevensbron hebt ingesteld om de verbinding te testen, moet u er een maken. De gegevensbron op de gateway instellen:
Selecteer in de Power BI-service het
installatiepictogram.Selecteer Gateways beheren in de vervolgkeuzelijst.
Selecteer het beletselteken (...) naast de naam van de gateway die u wilt gebruiken met deze connector.
Selecteer gegevensbron toevoegen in de vervolgkeuzelijst.
Voer in Instellingen gegevensbron de naam van de gegevensbron in die u deze nieuwe bron wilt aanroepen in het tekstvak Naam van gegevensbron.
Selecteer SAP HANA in het gegevensbrontype.
Voer de servernaam in Server in en selecteer de verificatiemethode.
Ga door met het volgen van de instructies in de volgende procedure.
Test de verbinding in Power BI Desktop of de Power BI-service.
Controleer in Power BI Desktop of op de pagina Gegevensbron Instellingen van de Power BI-service of Servercertificaat valideren is ingeschakeld voordat u probeert verbinding te maken met uw SAP HANA-server. Selecteer commoncrypto voor SSL-cryptoprovider. Laat de velden SSL-sleutelarchief en SSL-vertrouwensarchief leeg.
Power BI Desktop
Power BI-service
Controleer of u een versleutelde verbinding met de server tot stand kunt brengen met de optie Servercertificaat valideren ingeschakeld door gegevens in Power BI Desktop te laden of een gepubliceerd rapport te vernieuwen in Power BI-service.
U ziet dat alleen de informatie van de SSL-cryptoprovider vereist is. Het is echter mogelijk dat uw implementatie vereist dat u ook het sleutelarchief en het vertrouwensarchief gebruikt. Ga naar TLS/SSL-Verbinding maken ion Properties (ODBC) aan de clientzijde voor meer informatie over deze winkels en hoe u ze maakt.