Versleuteling voor SAP HANA inschakelen

U wordt aangeraden verbindingen met een SAP HANA-server vanaf Power Query Desktop en Power Query Online te versleutelen. U kunt HANA-versleuteling inschakelen met behulp van zowel OpenSSL en als de eigen CommonCryptoLib-bibliotheek (voorheen sapcrypto genoemd) van SAP. SAP raadt u aan CommonCryptoLib te gebruiken, maar er zijn basisversleutelingsfuncties beschikbaar voor elke bibliotheek.

Dit artikel bevat een overzicht van het inschakelen van versleuteling met behulp van OpenSSL en verwijst naar een aantal specifieke gebieden van de SAP-documentatie. Inhoud en koppelingen worden periodiek bijgewerkt, maar raadpleeg voor uitgebreide instructies en ondersteuning altijd de officiële SAP-documentatie. Als u versleuteling wilt instellen met behulp van CommonCryptoLib in plaats van OpenSSL, raadpleegt u TLS/SSL configureren in SAP HANA 2.0. Voor instructies voor de migratie van OpenSSL naar CommonCryptoLib raadpleegt u SAP-notitie 2093286 (s-gebruiker vereist).

Notitie

De installatiestappen voor versleuteling die in dit artikel worden beschreven, komen deels overeen met de installatie- en configuratiestappen voor SAML SSO. Of u nu OpenSSL of CommonCryptoLib als de versleutelingsprovider van uw HANA-server kiest, u moet ervoor zorgen dat u voor alle SAML- en versleutelingsconfiguraties dezelfde keuze maakt.

Het inschakelen van versleuteling voor SAP HANA met behulp van OpenSSL kent vier fasen. Deze fasen worden hierna besproken. Zie De communicatie tussen SAP HANA Studio en SAP HANA-server beveiligen via SSL voor meer informatie.

OpenSSL gebruiken

Zorg ervoor dat uw HANA-server is geconfigureerd voor het gebruik van OpenSSL als versleutelingsprovider. Vervang de ontbrekende padinformatie hieronder door de server-id (sid) van uw HANA-server.

OpenSSL cryptografische provider.

Een aanvraag voor ondertekening van een certificaat indienen

Dien een aanvraag in om een X509-certificaat voor de HANA-server te ondertekenen.

  1. Maak via SSH verbinding met de Linux-computer waarop de HANA-server wordt uitgevoerd als <sid>adm.

  2. Ga naar de basismap / usr/sap/<sid>/home.

  3. Maak een verborgen map met de naam _.__ssl_if nog niet bestaat.

  4. Voer de volgende opdracht uit:

    openssl req -newkey rsa:2048 -days 365 -sha256 -keyout Server\_Key.pem -out Server\_Req.pem -nodes
    

Met deze opdracht worden een aanvraag voor het ondertekenen van een certificaat en een privésleutel gemaakt. Zodra het certificaat is ondertekend, is dit een jaar lang geldig (zie de -days-parameter). Wanneer u om de algemene naam (CN) wordt gevraagd, voert u de volledig gekwalificeerde domeinnaam (FQDN) in van de computer waarop de HANA-server is geïnstalleerd.

Het certificaat laten ondertekenen

Laat het certificaat ondertekenen door een certificeringsinstantie (CA) die wordt vertrouwd door de client(s) die u gebruikt om verbinding te maken met de HANA-server.

  1. Als u al een vertrouwde zakelijke CA hebt (vertegenwoordigd door CA_Cert.pem en CA_Key.pem in het volgende voorbeeld), kunt u het certificaataanvraag ondertekenen door de volgende opdracht uit te voeren:

    openssl x509 -req -days 365 -in Server\_Req.pem -sha256 -extfile /etc/ssl/openssl.cnf -extensions usr\_cert -CA CA\_Cert.pem -CAkey CA\_Key.pem -CAcreateserial -out Server\_Cert.pem
    

    Als u nog niet over een CA beschikt die u kunt gebruiken, kunt u zelf een hoofd-CA maken door de stappen te volgen die worden beschreven in De communicatie tussen SAP HANA Studio en SAP HANA-server beveiligen via SSL.

  2. Maak de HANA-servercertificaatketen door het servercertificaat, de sleutel en het certificaat van de CA te combineren (De naam key.pem is de conventie voor SAP HANA):

    cat Server\_Cert.pem Server\_Key.pem CA\_Cert.pem \> key.pem
    
  3. Maak een kopie van CA_Cert.pem named trust.pem (de naam trust.pem is de conventie voor SAP HANA):

    cp CA\_Cert.pem trust.pem
    
  4. Start de HANA-server opnieuw op.

  5. Controleer de vertrouwensrelatie tussen een client en de CA die u hebt gebruikt om het certificaat de SAP HANA-server te ondertekenen.

    De client moet de CA vertrouwen die is gebruikt voor het ondertekenen van het X509-certificaat de HANA-server, voordat er een versleutelde verbinding kan worden gemaakt met de HANA-server van de computer van de client.

    U kunt er op verschillende manieren voor zorgen dat deze vertrouwensrelatie bestaat met behulp van Microsoft Management Console (mmc) of de opdrachtregel. U kunt het X509-certificaat (trust.pem) van de CA importeren in de map Vertrouwde basiscertificeringsinstanties voor de gebruiker die de verbinding tot stand zal brengen of desgewenst in dezelfde map voor de clientcomputer zelf.

    Vertrouwde basiscertificeringsinstanties map.

    U moet trust.pem eerst omzetten naar een .crt-bestand voordat u het certificaat kunt importeren in de map Vertrouwde basiscertificeringsinstanties, bijvoorbeeld door de volgende OpenSSL-opdracht uit te voeren:

    openssl x509 -outform der -in your-cert.pem -out your-cert.crt
    

    Zie de OpenSSL-documentatie voor informatie over het gebruik van OpenSSL voor de omzetting.

De verbinding testen

Voordat u een servercertificaat in de Power BI-service online kunt valideren, moet u al een gegevensbron hebben ingesteld voor de on-premises gegevensgateway. Als u nog geen gegevensbron hebt ingesteld om de verbinding te testen, moet u er een maken. De gegevensbron op de gateway instellen:

  1. Selecteer in Power BI service de optie installatiepictogram. installatiepictogram.

  2. Selecteer Gateways beheren in de vervolgkeuzelijst.

  3. Selecteer het beletselteken (...) naast de naam van de gateway die u wilt gebruiken met deze connector.

  4. Selecteer Gegevensbron toevoegen in de vervolgkeuzelijst.

  5. Voer in Instellingen de naam van de gegevensbron in die u deze nieuwe bron wilt aanroepen in het tekstvak Naam van gegevensbron.

  6. Selecteer in Gegevensbrontype de SAP HANA.

  7. Voer de servernaam in Server in en selecteer de verificatiemethode.

  8. Ga verder met het volgen van de instructies in de volgende procedure.

Test de verbinding in Power BI Desktop of de Power BI-service.

  1. Controleer in Power BI Desktop of op de pagina Gegevensbron Instellingen van de Power BI-service of Servercertificaat valideren is ingeschakeld voordat u een verbinding met uw SAP HANA server tot stand probeert te brengen. Als SSL-versleutelingsprovider selecteert u mscrypto als u de OpenSSL-installatiestappen hebt gevolgd en commoncrypto als u die bibliotheek als uw versleutelingsprovider hebt geconfigureerd. Laat de velden voor het SSL-sleutelarchief en het vertrouwde SSL-archief leeg.

    • Power BI Desktop

      Servercertificaat valideren - service.

    • Power BI-service

      Servercertificaat valideren - desktop.

  2. Controleer of u een versleutelde verbinding met de server tot stand kunt brengen met de optie Servercertificaat valideren ingeschakeld, door gegevens te laden in Power BI Desktop of door een gepubliceerd rapport in de Power BI-service te vernieuwen.

U ziet dat alleen de gegevens van de SSL-cryptoprovider vereist zijn. Voor uw implementatie moet u mogelijk echter ook het sleutelopslag en het vertrouwensopslag gebruiken. Zie Client-Side TLS/SSL Connection Properties (ODBC) (Client-Side TLS/SSL Connection Properties (ODBC) voormeer informatie over deze winkels en hoe u deze kunt maken.

Aanvullende informatie

Volgende stappen