SAP HANA için şifrelemeyi etkinleştirme

  • Makale

Power Query Desktop ve Power Query Online'dan SAP HANA sunucusuna bağlantıları şifrelemenizi öneririz. SAP'nin özel CommonCryptoLib (eski adı sapcrypto) kitaplığını kullanarak HANA şifrelemesini etkinleştirebilirsiniz. SAP, CommonCryptoLib kullanılmasını önerir.

Not

SAP artık OpenSSL'yi desteklememektedir ve sonuç olarak Microsoft da desteğini kesmiştir. Bunun yerine CommonCryptoLib kullanın.

Bu makale CommonCryptoLib kullanarak şifrelemeyi etkinleştirmeye genel bir bakış sağlar ve SAP belgelerinin bazı belirli alanlarına başvurur. İçeriği ve bağlantıları düzenli aralıklarla güncelleştiriyoruz, ancak kapsamlı yönergeler ve destek için her zaman resmi SAP belgelerine bakın. OpenSSL yerine şifrelemeyi ayarlamak için CommonCryptoLib kullanın; bunu yapmak için SAP HANA 2.0'da TLS/SSL Yapılandırma bölümüne gidin. OpenSSL'den CommonCryptoLib'e geçiş adımları için SAP Not 2093286 (s-user gereklidir) bölümüne gidin.

Not

Bu makalede ayrıntılı olarak açıklanan şifreleme kurulum adımları, SAML SSO için kurulum ve yapılandırma adımlarıyla çakışıyor. HANA sunucunuzun şifreleme sağlayıcısı olarak CommonCryptoLib'i kullanın ve CommonCryptoLib seçiminizin SAML ve şifreleme yapılandırmalarında tutarlı olduğundan emin olun.

SAP HANA için şifrelemeyi etkinleştirmenin dört aşaması vardır. Bundan sonra bu aşamaları ele alacağız. Daha fazla bilgi: SSL aracılığıyla SAP HANA Studio ile SAP HANA Sunucusu Arasındaki İletişimin Güvenliğini Sağlama

CommonCryptoLib kullanma

HANA sunucunuzun şifreleme sağlayıcısı olarak CommonCryptoLib kullanacak şekilde yapılandırıldığından emin olun.

OpenSSL şifreleme sağlayıcısı.

Sertifika imzalama isteği oluşturma

HANA sunucusu için bir X509 sertifika imzalama isteği oluşturun.

  1. SSH kullanarak HANA sunucusunun üzerinde sid>adm olarak <çalıştığı Linux makinesine bağlanın.

  2. Giriş dizinine gidin /usr/sap/<sid>/home/.ssl. Kök CA zaten oluşturulduysa gizli .ssl dosyası zaten var.

    Kullanabileceğiniz bir CA'nız yoksa, SSL aracılığıyla SAP HANA Studio ile SAP HANA Sunucusu arasındaki İletişimin Güvenliğini Sağlama bölümünde açıklanan adımları izleyerek kök CA'yı kendiniz oluşturabilirsiniz.

  3. Şu komutu çalıştırın:

    sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME with FQDN> "CN=<HOSTNAME with FQDN>"

Bu komut bir sertifika imzalama isteği ve özel anahtar oluşturur. HOSTNAME alanını <FQDN> ile ana bilgisayar adı ve tam etki alanı adı (FQDN) ile doldurun.

Sertifikayı imzalı olarak alma

HANA sunucusuna bağlanmak için kullanacağınız istemciler tarafından güvenilen bir sertifika yetkilisi (CA) tarafından imzalanan sertifikayı alın.

  1. Güvenilir bir şirket CA'nız varsa (aşağıdaki örnekte CA_Cert.pem ve CA_Key.pem ile temsil edilir), aşağıdaki komutu çalıştırarak sertifika isteğini imzalayın:

    openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

  2. Yeni cert.pem dosyasını sunucuya kopyalayın.

  3. HANA sunucusu sertifika zincirini oluşturun:

    sapgenpse import_own_cert -p cert.pse -c cert.pem

  4. HANA sunucusunu yeniden başlatın.

  5. SAP HANA sunucusunun sertifikasını imzalamak için kullandığınız istemci ile CA arasındaki güven ilişkisini doğrulayın.

    İstemcinin, istemcinin makinesinden HANA sunucusuna şifreli bir bağlantı yapılabilmesi için önce HANA sunucusunun X509 sertifikasını imzalamak için kullanılan CA'ya güvenmesi gerekir.

    Microsoft Yönetim Konsolu (mmc) veya komut satırı kullanılarak bu güven ilişkisinin mevcut olduğundan emin olmanın çeşitli yolları vardır. CA'nın X509 sertifikasını (cert.pem) bağlantıyı kuracak kullanıcının Güvenilen Kök Sertifika Yetkilileri klasörüne veya istenirse istemci makinenin kendisi için aynı klasöre aktarabilirsiniz.

    Güvenilen Kök Sertifika Yetkilileri klasörü.

    Sertifikayı Güvenilen Kök Sertifika Yetkilileri klasörüne aktarabilmeniz için önce cert.pem dosyasını bir .crt dosyasına dönüştürmeniz gerekir.

Bağlantıyı test edin

Not

Bu bölümdeki yordamları kullanmadan önce, yönetici hesabı kimlik bilgilerinizi kullanarak Power BI'da oturum açmanız gerekir.

Çevrimiçi Power BI hizmeti bir sunucu sertifikasını doğrulamadan önce, şirket içi veri ağ geçidi için önceden ayarlanmış bir veri kaynağınız olmalıdır. Bağlantıyı test etmek için ayarlanmış bir veri kaynağınız yoksa bir veri kaynağı oluşturmanız gerekir. Ağ geçidinde veri kaynağını ayarlamak için:

  1. Power BI hizmeti kurulum simgesini seçinkurulum simgesi..

  2. Açılan listeden Ağ geçitlerini yönet'i seçin.

  3. Bu bağlayıcıyla kullanmak istediğiniz ağ geçidinin adının yanındaki üç noktayı (...) seçin.

  4. Açılan listeden Veri kaynağı ekle'yi seçin.

  5. Veri Kaynağı Ayarlar, bu yeni kaynağı çağırmak istediğiniz veri kaynağı adını Veri Kaynağı Adı metin kutusuna girin.

  6. Veri Kaynağı Türü'nde SAP HANA'yı seçin.

  7. Sunucu'ya sunucu adını girin ve kimlik doğrulama yöntemini seçin.

  8. Sonraki yordamdaki yönergeleri izleyerek devam edin.

Bağlantıyı Power BI Desktop'ta veya Power BI hizmeti test edin.

  1. Power BI Desktop'ta veya Power BI hizmeti Veri Kaynağı Ayarlar sayfasında SAP HANA sunucunuzla bağlantı kurmaya çalışmadan önce Sunucu sertifikasını doğrula'nın etkinleştirildiğinden emin olun. SSL şifreleme sağlayıcısı için commoncrypto'yu seçin. SSL anahtar deposu ve SSL güven deposu alanlarını boş bırakın.

    • Power BI Desktop

      Sunucu sertifikasını doğrulama - hizmet.

    • Power BI hizmeti

      Sunucu sertifikasını doğrulama - masaüstü.

  2. Power BI Desktop'a veri yükleyerek veya Power BI hizmeti'da yayımlanan bir raporu yenileyerek Sunucu sertifikasını doğrula seçeneği etkinken sunucuya şifreli bir bağlantı kurabildiğinizi doğrulayın.

Yalnızca SSL şifreleme sağlayıcısı bilgilerinin gerekli olduğunu unutmayın. Ancak uygulamanız, anahtar depoyu ve güven depoyu da kullanmanızı gerektirebilir. Bu depolar ve bunların nasıl oluşturulacağı hakkında daha fazla bilgi için İstemci Tarafı TLS/SSL Bağlan ion Özellikleri (ODBC) bölümüne gidin.

Ek bilgi

Sonraki adımlar