แชร์ผ่าน

เปิดใช้งานการเข้ารหัสสําหรับ SAP HANA

  • บทความ

เราขอแนะนําให้คุณเข้ารหัสการเชื่อมต่อไปยังเซิร์ฟเวอร์ SAP HANA จาก Power Query Desktop และ Power Query ออนไลน์ คุณสามารถเปิดใช้งานการเข้ารหัส HANA โดยใช้ไลบรารี CommonCryptoLib ของ SAP (เดิมเรียกว่า sapcrypto) SAP จะแนะนําให้ใช้ CommonCryptoLib

หมายเหตุ

SAP ไม่รองรับ OpenSSL อีกต่อไป และด้วยเหตุนี้ Microsoft จึงยุติการสนับสนุนด้วยเช่นกัน ใช้ CommonCryptoLib แทน

บทความนี้แสดงภาพรวมของการเปิดใช้งานการเข้ารหัสด้วย CommonCryptoLib และอ้างอิงบางพื้นที่เฉพาะของเอกสารประกอบ SAP เราอัปเดตเนื้อหาและลิงก์เป็นระยะ ๆ แต่สําหรับคําแนะนําและการสนับสนุนที่ครอบคลุม ให้อ้างอิงถึงเอกสารประกอบ SAP อย่างเป็นทางการเสมอ ใช้ CommonCryptoLib เพื่อตั้งค่าการเข้ารหัสลับแทน OpenSSL สําหรับขั้นตอนในการทําเช่นนั้น ไปที่ วิธีการกําหนดค่า TLS/SSL ใน SAP HANA 2.0 สําหรับขั้นตอนเกี่ยวกับวิธีการโยกย้ายจาก OpenSSL ไปยัง CommonCryptoLib ไปที่ SAP Note 2093286 (ต้องมีผู้ใช้ s)

หมายเหตุ

ขั้นตอนการตั้งค่าสําหรับการเข้ารหัสลับโดยละเอียดในบทความนี้ทับซ้อนกับขั้นตอนการตั้งค่าและการกําหนดค่าสําหรับ SAML SSO ใช้ CommonCryptoLib เป็นผู้ให้บริการการเข้ารหัสลับของเซิร์ฟเวอร์ HANA และตรวจสอบให้แน่ใจว่าตัวเลือกของคุณสําหรับ CommonCryptoLib มีความสอดคล้องกันในการกําหนดค่า SAML และการเข้ารหัสลับ

มีสี่ขั้นตอนในการเปิดใช้งานการเข้ารหัสลับสําหรับ SAP HANA เราจะกล่าวถึงขั้นตอนเหล่านี้ต่อไป ข้อมูลเพิ่มเติม: การรักษาความปลอดภัยการสื่อสารระหว่าง SAP HANA Studio และเซิร์ฟเวอร์ SAP HANA ผ่าน SSL

ใช้ CommonCryptoLib

ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ HANA ของคุณได้รับการกําหนดค่าให้ใช้ CommonCryptoLib เป็นผู้ให้บริการการเข้ารหัสลับ

ผู้ให้บริการการเข้ารหัสลับ OpenSSL

สร้างคําขอการรับรองใบรับรอง

สร้างคําขอการรับรองใบรับรอง X509 สําหรับเซิร์ฟเวอร์ HANA

  1. การใช้ SSH จะเชื่อมต่อกับเครื่อง Linux ที่เซิร์ฟเวอร์ HANA ทํางานเป็น <sid>adm

  2. ไปที่ Home directory /usr/sap/<sid>/home/.ssl ไฟล์ .ssl ที่ซ่อนอยู่จะมีอยู่แล้วหาก CA ระดับสูงถูกสร้างขึ้นแล้ว

    หากคุณยังไม่มี CA ที่คุณสามารถใช้ได้ คุณสามารถสร้าง CA ระดับสูงด้วยตัวเองโดยทําตามขั้นตอนที่อธิบายไว้ใน การรักษาความปลอดภัยการสื่อสารระหว่าง SAP HANA Studio และ SAP HANA Server ผ่าน SSL

  3. เรียกใช้คำสั่งต่อไปนี้

    sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME กับ FQDN> "CN =< HOSTNAME with FQDN>"

คําสั่งนี้สร้างคําขอการรับรองใบรับรองและคีย์ส่วนตัว กรอก <HOSTNAME ด้วย FQDN> ด้วยชื่อโฮสต์และชื่อโดเมนแบบเต็มที่มีคุณสมบัติเหมาะสม (FQDN)

รับใบรับรองที่ลงชื่อแล้ว

รับใบรับรองที่รับรองโดยผู้ให้บริการออกใบรับรอง (CA) ที่เชื่อถือได้โดยไคลเอ็นต์ที่คุณจะใช้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ HANA

  1. ถ้าคุณมี CA ของบริษัทที่เชื่อถือได้ (แทนด้วย CA_Cert.pem และ CA_Key.pem ในตัวอย่างต่อไปนี้) ให้ลงชื่อในคําขอใบรับรองโดยการเรียกใช้คําสั่งต่อไปนี้:

    openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

  2. คัดลอกไฟล์ใหม่ cert.pem ไปยังเซิร์ฟเวอร์

  3. สร้างห่วงโซ่ใบรับรองเซิร์ฟเวอร์ HANA:

    sapgenpse import_own_cert -p cert.pse -c cert.pem

  4. รีสตาร์ทเซิร์ฟเวอร์ HANA

  5. ตรวจสอบความสัมพันธ์ที่เชื่อถือได้ระหว่างไคลเอ็นต์และ CA ที่คุณใช้ในการรับรองใบรับรองของเซิร์ฟเวอร์ SAP HANA

    ไคลเอนต์ต้องเชื่อถือ CA ที่ใช้ในการรับรองใบรับรอง X509 ของเซิร์ฟเวอร์ HANA ก่อนที่สามารถทําการเชื่อมต่อแบบเข้ารหัสกับเซิร์ฟเวอร์ HANA จากเครื่องของไคลเอ็นต์

    มีหลายวิธีในการตรวจสอบให้แน่ใจว่าความสัมพันธ์ที่น่าเชื่อถือนี้มีอยู่โดยใช้ Microsoft Management Console (mmc) หรือบรรทัดคําสั่ง คุณสามารถนําเข้าใบรับรอง X509 ของ CA (cert.pem) ไปยัง โฟลเดอร์ Trusted Root Certification Authorities สําหรับผู้ใช้ที่จะสร้างการเชื่อมต่อ หรือไปยังโฟลเดอร์เดียวกันสําหรับเครื่องไคลเอ็นต์เองหากเป็นที่ต้องการ

    โฟลเดอร์ Trusted Root Certification Authorities

    ก่อนอื่นคุณต้องแปลง cert.pem เป็นไฟล์ .crt ก่อนที่คุณสามารถนําเข้าใบรับรองไปยังโฟลเดอร์ Trusted Root Certification Authorities

ทดสอบการเชื่อมต่อ

หมายเหตุ

ก่อนที่จะใช้ขั้นตอนในส่วนนี้ คุณต้องลงชื่อเข้าใช้ Power BI โดยใช้ข้อมูลประจําตัวของบัญชีผู้ดูแลระบบของคุณ

ก่อนที่คุณสามารถตรวจสอบใบรับรองเซิร์ฟเวอร์ในบริการของ Power BI ออนไลน์ คุณต้องมีแหล่งข้อมูลที่ตั้งค่าไว้แล้วสําหรับเกตเวย์ข้อมูลภายในองค์กร ถ้าคุณยังไม่มีแหล่งข้อมูลที่ตั้งค่าเพื่อทดสอบการเชื่อมต่อ คุณจะต้องสร้างขึ้นมาหนึ่งรายการ วิธีตั้งค่าแหล่งข้อมูลบนเกตเวย์:

  1. จากบริการของ Power BI เลือกไอคอนไอคอนตั้งค่าการตั้งค่า

  2. จากรายการดรอปดาวน์ เลือกจัดการเกตเวย์

  3. เลือกจุดไข่ปลา (...) ที่อยู่ถัดจากชื่อของเกตเวย์ที่คุณต้องการใช้กับตัวเชื่อมต่อนี้

  4. จากรายการดรอปดาวน์ เลือกเพิ่มแหล่งข้อมูล

  5. ในการตั้งค่าแหล่งข้อมูล ใส่ชื่อแหล่งข้อมูลที่คุณต้องการเรียกใช้แหล่งข้อมูลใหม่นี้ในกล่องข้อความชื่อแหล่งข้อมูล

  6. ในชนิดแหล่งข้อมูล เลือก SAP HANA

  7. ป้อนชื่อเซิร์ฟเวอร์ใน เซิร์ฟเวอร์ และเลือกวิธีการรับรองความถูกต้อง

  8. ทําตามคําแนะนําในขั้นตอนถัดไป

ทดสอบการเชื่อมต่อใน Power BI Desktop หรือบริการของ Power BI

  1. ใน Power BI Desktop หรือในหน้าการตั้งค่าแหล่งข้อมูลของบริการของ Power BI ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งาน ตรวจสอบใบรับรองเซิร์ฟเวอร์ ก่อนที่จะพยายามสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ SAP HANA ของคุณ สําหรับ ผู้ให้บริการการเข้ารหัส SSL เลือก commoncrypto ปล่อยเขตข้อมูลคีย์สโตร์ของ SSL และทรัสต์สโตร์ของ SSL ว่างไว้

    • Power BI Desktop

      ตรวจสอบใบรับรองของเซิร์ฟเวอร์ - บริการ

    • บริการของ Power BI

      ตรวจสอบใบรับรองของเซิร์ฟเวอร์ - เดสก์ท็อป

  2. ตรวจสอบว่าคุณสามารถสร้างการเชื่อมต่อแบบเข้ารหัสไปยังเซิร์ฟเวอร์ได้สําเร็จโดยเปิดใช้งานตัวเลือก ตรวจสอบใบรับรองเซิร์ฟเวอร์ โดยการโหลดข้อมูลใน Power BI Desktop หรือการรีเฟรชรายงานที่เผยแพร่ใน บริการของ Power BI

คุณจะทราบว่าต้องการเฉพาะข้อมูลผู้ให้บริการการเข้ารหัสลับ SSL เท่านั้น อย่างไรก็ตาม การใช้งานของคุณอาจจําเป็นต้องให้คุณใช้คีย์สโตร์และ Trust Store ด้วย สําหรับข้อมูลเพิ่มเติมเกี่ยวกับร้านค้าเหล่านี้และวิธีการสร้าง ให้ไปที่คุณสมบัติ Client-Side TLS/SSL เชื่อมต่อ ion (ODBC)

ข้อมูลเพิ่มเติม

ขั้นตอนถัดไป