SAP HANA の暗号化を有効にする

Power Query デスクトップと Power Query Online サービスから SAP HANA サーバーへの接続は暗号化することをお勧めします。 HANA 暗号化は、OpenSSL と SAP の専用 CommonCryptoLib (旧称 sapcrypto) ライブラリの両方を使用して有効にすることができます。 SAP では CommonCryptoLib を使用することが推奨されていますが、基本的な暗号化機能はどちらのライブラリでも使用できます。

この記事では、OpenSSL を使用して暗号化を有効にする方法の概要を説明し、SAP ドキュメントの特定の領域を参照します。 コンテンツとリンクは定期的に更新されますが、包括的な指示とサポートについては、常に公式の SAP ドキュメントを参照してください。 OpenSSL ではなく CommonCryptoLib を使用して暗号化を設定する場合は、「SAP HANA 2.0 で TLS/SSL を構成する方法」を参照してください。OpenSSL から CommonCryptoLib に移行する手順については、SAP Note 2093286 を参照してください (s-user が必要です)。

注意

この記事で詳しく説明されている暗号化のセットアップ手順は、SAML SSO のセットアップと構成の手順と重複しています。 HANA サーバーの暗号化プロバイダーとして OpenSSL と CommonCryptoLib のどちらを選択する場合でも、選択した内容が SAML の構成と暗号化の構成とで一貫していることを確認してください。

OpenSSL を使用して SAP HANA の暗号化を有効にするには、4 つのフェーズがあります。 次に、これらのフェーズについて説明します。 詳細については、「SSL を使用して SAP HANA Studio と SAP HANA サーバー間の通信をセキュリティで保護する」を参照してください。

OpenSSL を使用する

HANA サーバーが、その暗号化サービス プロバイダーとして OpenSSL を使用するように構成されていることを確認します。 以下の不足しているパス情報を、HANA サーバーのサーバー ID (sid) に置き換えます。

OpenSSL 暗号化サービス プロバイダー。

証明書署名要求を作成する

HANA サーバーの X509 証明書署名要求を作成します。

  1. SSH を使用して、HANA サーバーが実行されている Linux マシンに <sid>adm として接続します。

  2. ホーム ディレクトリ / usr/sap/<sid>/home にアクセスします。

  3. _._ssl という名前の非表示ディレクトリを作成します (存在しない場合)。

  4. 次のコマンドを実行します。

    openssl req -newkey rsa:2048 -days 365 -sha256 -keyout Server\_Key.pem -out Server\_Req.pem -nodes
    

このコマンドは、証明書署名要求と秘密キーを作成します。 署名された証明書は、1 年間有効です (-days パラメーターを参照)。 共通名 (CN) の入力を求められたら、HANA サーバーがインストールされているコンピューターの完全修飾ドメイン名 (FQDN) を入力します。

証明書に署名する

HANA サーバーへの接続に使用するクライアントによって信頼されている証明機関 (CA) によって証明書に署名します。

  1. 信頼された会社の CA (次の例では CA_Cert.pem および CA_Key.pem で表します) が既にある場合は、次のコマンドを実行して証明書の要求に署名します。

    openssl x509 -req -days 365 -in Server\_Req.pem -sha256 -extfile /etc/ssl/openssl.cnf -extensions usr\_cert -CA CA\_Cert.pem -CAkey CA\_Key.pem -CAcreateserial -out Server\_Cert.pem
    

    使用できる CA がまだない場合は、「SSL を使用して SAP HANA Studio と SAP HANA サーバー間の通信をセキュリティで保護する」に記載されている手順に従って、自分でルート CA を作成することができます。

  2. サーバー証明書、キー、CA の証明書を組み合わせることによって、HANA サーバー証明書チェーンを作成します (key.pem 名は SAP HANA での規則です)。

    cat Server\_Cert.pem Server\_Key.pem CA\_Cert.pem \> key.pem
    
  3. 次のように、trust.pem という名前の CA_Cert.pem のコピーを作成します (trust.pem の名前は SAP HANA での規則です)。

    cp CA\_Cert.pem trust.pem
    
  4. HANA サーバーを再起動します。

  5. クライアントと、SAP HANA サーバーの証明書の署名に使用した CA との間の信頼関係を確認します。

    クライアント コンピューターから HANA サーバーへの暗号化された接続を確立する前に、クライアントは、HANA サーバーの X509 証明書の署名に使用される CA を信頼する必要があります。

    Microsoft 管理コンソール (MMC) またはコマンドラインを使用して、この信頼関係が存在することを確認するにはさまざまな方法があります。 CA の X509 証明書 (trust.pem) を、接続を確立するユーザーの [信頼されたルート証明機関] フォルダーにインポートするか、クライアント コンピューター自体の同じフォルダーにインポートすることができます (そうすることが望ましい場合)。

    [信頼されたルート証明機関] フォルダー。

    次の OpenSSL コマンドを実行するなどして、証明書を [信頼されたルート証明機関] フォルダーにインポートする前に、まず trust.pem を .crt ファイルに変換する必要があります。

    openssl x509 -outform der -in your-cert.pem -out your-cert.crt
    

    変換に OpenSSL を使用する方法の詳細については、OpenSSL のドキュメントを参照してください。

接続をテストする

Power BI サービスでサーバー証明書をオンラインで検証するには、データ ソースが既にオンプレミス データ ゲートウェイ用に設定されている必要があります。 接続をテストするためにデータ ソースをまだ設定していない場合は、作成する必要があります。 ゲートウェイでデータ ソースを設定するには:

  1. Power BI サービスから セットアップ アイコン。 セットアップ アイコンを選択します。

  2. ドロップダウン リストから、 [ゲートウェイの管理] を選択します。

  3. このコネクタで使用するゲートウェイの名前の横にある省略記号 (...) を選択します。

  4. ドロップダウン リストから、 [データ ソースの追加] を選択します。

  5. [データ ソースの設定] で、この新しいソースを呼び出すデータ ソース名を [データ ソース名] テキストボックスに入力します。

  6. [データ ソースの種類] で、 [SAP HANA] を選択します。

  7. [サーバー] にサーバー名を入力し、認証方法を選択します。

  8. 引き続き、次の手順の指示に従います。

Power BI Desktop または Power BI サービスで接続をテストします。

  1. Power BI Desktop、または Power BI サービスの [データ ソースの設定] ページで、SAP HANA サーバーへの接続を確立する前に、 [サーバー証明書の検証] が有効になっていることを確認します。 [SSL 暗号化プロバイダー] については、OpenSSL セットアップ手順に従っている場合は mscrypto を選択し、そのライブラリを暗号化プロバイダーとして構成している場合は commoncrypto を選択します。 [SSL キーストア] と [SSL 信頼ストア] フィールドは空白のままにします。

    • Power BI Desktop

      サーバー証明書の検証 - サービス。

    • Power BI サービス

      サーバー証明書の検証 - デスクトップ。

  2. [サーバー証明書の検証] オプションを有効にして、Power BI Desktop にデータを読み込むか、Power BI サービス内のパブリッシュ済みレポートを更新することによって、サーバーへの暗号化された接続を正常に確立できることを確認します。

SSL 暗号化プロバイダー 情報だけが必要である点にご注意ください。 ただし、実装では、キー ストアと信頼ストアも使用する必要がある場合があります。 これらのストアの詳細と作成方法については、「Client-Side TLS/SSL Connection Properties (ODBC)」(クライアント側 TLS/SSL 接続プロパティ (ODBC)) を参照してください。

関連情報

次のステップ