启用 SAP HANA 加密

建议从 Power Query Desktop 和 Power Query Online 将与 SAP HANA 服务器的连接加密。 可以使用 SAP 的专有 CommonCryptoLib(前称为 sapcrypto)库启用 HANA 加密。 SAP 建议使用 CommonCryptoLib。

注意

SAP 不再支持 OpenSSL,因此 Microsoft 也停止了对其的支持。 改用 CommonCryptoLib。

本文概述了如何使用 CommonCryptoLib 启用加密,并参考了 SAP 文档的某些特定方面。 我们会定期更新内容和链接,但有关全面的说明和支持,请务必参考官方 SAP 文档。 使用 CommonCryptoLib 设置加密,而不是使用 OpenSSL;有关执行此操作的步骤,请转到如何在 SAP HANA 2.0 中配置 TLS/SSL。 有关如何从 OpenSSL 迁移到 CommonCryptoLib 的步骤,请转到 SAP 说明 2093286(需要 s 用户)。

注意

本文中详述的加密设置步骤与 SAML SSO 的设置和配置步骤重叠。 如果使用 CommonCryptoLib 作为 HANA 服务器的加密提供程序,请确保在 SAML 和加密配置中采用一致的 CommonCryptoLib 选择。

为 SAP HANA 启用加密分为四个阶段。 接下来将介绍这些阶段。 详细信息:通过 SSL 保护 SAP HANA Studio 和 SAP HANA Server 之间的通信

使用 CommonCryptoLib

确保 HANA 服务器已配置为使用 OpenSSL 作为其加密提供程序。

OpenSSL 加密提供程序。

创建证书签名请求

为 HANA 服务器创建 X509 证书签名请求。

  1. 使用 SSH 连接到 HANA 服务器作为 <sid>adm 运行的 Linux 计算机。

  2. 转到主目录 /usr/sap/<sid>/home/.ssl。 如果已创建根 CA,则隐藏的 .ssl 文件已存在。

    如果还没有可以使用的 CA,可以按照通过 SSL 保护 SAP HANA Studio 和 SAP HANA 服务器之间的通信中所述的步骤自行创建根 CA。

  3. 运行以下命令:

    sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME with FQDN> "CN=<HOSTNAME with FQDN>"

此命令将创建证书签名请求和私钥。 使用主机名和完全限定的域名 (FQDN) 填写 <HOSTNAME with FQDN>。

获取已签名的证书

获取由客户端信任的证书颁发机构 (CA) 签名的证书,该证书将用于连接到 HANA 服务器。

  1. 如果已经具有受信任的公司 CA(下例中由 CA_Cert.pem 和 CA_Key.pem 表示),则通过运行以下命令对证书请求进行签名:

    openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

  2. 将新文件 cert.pem 复制到服务器。

  3. 创建 HANA 服务器证书链:

    sapgenpse import_own_cert -p cert.pse -c cert.pem

  4. 重启 HANA 服务器。

  5. 验证客户端与用于对 SAP HANA 服务器证书进行签名的 CA 之间的信任关系。

    客户端必须信任用于对 HANA 服务器 X509 证书进行签名的 CA,然后才能从客户端计算机与 HANA 服务器建立加密连接。

    可使用 Microsoft 管理控制台 (mmc) 或命令行,利用多种方法确保此信任关系存在。 可以将 CA X509 证书 (cert.pem) 导入到要建立连接的用户的受信任的根证书颁发机构文件夹中,或者导入到客户端计算机本身的同一文件夹中(如果需要)。

    “受信任的根证书颁发机构”文件夹。

    必须先将 cert.pem 转换为 .crt 文件,然后才能将证书导入“受信任的根证书颁发机构”文件夹。

测试连接

注意

使用本节中的过程之前,必须使用管理员帐户凭据登录到 Power BI。

必须已为本地数据网关设置数据源,然后才能联机验证 Power BI 服务中的服务器证书。 如果尚未设置用于测试连接的数据源,则必须创建一个。 要在网关上设置数据源:

  1. 从 Power BI 服务中,选择 设置图标。 设置图标。

  2. 从下拉列表中,选择管理网关

  3. 选择要用于此连接器的网关名称旁边的省略号 (...)。

  4. 从下拉列表中,选择添加数据源

  5. 数据源设置中,在数据源名称文本框中输入要调用此新源 的数据源名称。

  6. 数据源类型中,选择 SAP HANA

  7. 服务器中输入服务器名称,然后选择身份验证方法。

  8. 继续按照下一过程中的说明执行操作。

在 Power BI Desktop 或 Power BI 服务中测试连接。

  1. 在 Power BI Desktop 或 Power BI 服务的数据源设置页面中,确保在尝试与 SAP HANA 服务器建立连接之前启用验证服务器证书。 对于 SSL 加密提供程序,选择 commoncrypto。 将 SSL 密钥存储和 SSL 信任存储字段留空。

    • Power BI Desktop

      验证服务器证书 - 服务。

    • Power BI 服务

      验证服务器证书 - 桌面。

  2. 通过在 Power BI Desktop 中加载数据,或在 Power BI 服务中刷新已发布的报表,验证是否可以使用验证服务器证书选项成功与服务器建立加密连接。

您会注意到,只需要 SSL 加密提供程序信息。 但是,实现可能还需要使用密钥存储和信任存储。 有关这些存储以及如何创建它们的详细信息,请转到客户端 TLS/SSL 连接属性 (ODBC)

其他信息

后续步骤