美国服务器_数据库应用系统的开发_三重好礼

小七 2019年10月25日 21:23 141 0

大家好，

我是来自加拿大温哥华HANA产品支持部的Ganesh Munusamy。我作为支持团队的一员已经3年多了。

我看到越来越多的客户提出与安全相关的问题。本博客将逐步介绍SSL的内部通信和系统复制配置。我希望这能帮到你们。

安全性是任何产品都应该具备的最重要的特性之一。在SAP HANA中，我们可以精确地配置内部和外部通信。

在这里，我们将看到当您不想使用默认的系统PKI（公钥基础设施）时，如何手动配置服务器端SSL。但请记住，SystemPKI是SAP建议用于保护SSL通信的建议。如果您想使用自己的服务器证书进行节点间通信和系统复制，请遵循以下步骤。

注意事项…

在多主机系统中，每个主机都需要一个公钥和私钥对以及一个公钥服务器证书使用CommonCrypto库(libsap加密.so)作为加密库，该库应作为SAP HANA服务器安装的一部分进行安装对于HANA 1.00，服务器之间的内部通信和系统复制通信不支持数据库内配置。OpenSSL可用于创建服务器证书。使用CommonCryptoLib，还可以使用SAP Web dispatcher管理工具或SAPGENPSE工具。不要对包含服务器私钥的密钥库文件进行密码保护。

高级概述：

请注意：

SAP的建议是为每个主机使用一个专用CA，但在这里我只展示如何在一个主机中创建证书并对其签名。如果您使用多主机环境，则只需在其他主机中执行相同的步骤。

创建根证书：

我在这里使用的是3节点系统，高防云服务器，MN1，vandevvmlnx011/012/013。

2。使用OpenSSL工具请求根证书，大数据支持，使用命令：

/usr/sap/MN1/HDB60/vandevvmlnx011/sec>OpenSSL req-new-x509-newkeyrsa:2048天7300-sha256-键盘输出CA_密钥.pem-加利福尼亚州_证书pem-扩展v3_ca

这将要求您输入PEM密码短语，我使用了我的系统用户密码进行测试，小企业管理软件免费，您可以根据自己的方便使用它。还必须输入其他详细信息，如国家、州、地区等

3。这应该已经创建了两个新文件_密钥.pem和CA_证书pem

创建服务器证书：

/usr/sap/MN1/HDB60/vandevvmlnx011/sec>sapgenpse gen\u pse-psapsrv.pse公司-右sapsrv.req公司CN="*"。xxxx.xxxx.sap公司.corp"，O="HANA Support"，C="US"

非常重要…

请求PSE PIN/密码时不要输入密码，因为它不受支持！此外，为了确保内部通信的安全，韩国云服务器，规范名称应该是特定于主机的，例如CN=""。因此，在每个主机上创建私有CA时，参数CN将是唯一的。但在下面这个例子中，我指定了CN="*"。xxxx.xxxx.sap公司.com"，适用于系统复制场景，但不适用于主机间的内部通信。这应该会创建新文件sapsrv.req公司以及sapsrv.pse公司

自签名证书请求：

/usr/sap/MN1/HDB60/vandevvmlnx011/sec>openssl x509-请求-7300天-输入sapsrv.req公司-sha256-extfile/etc/ssl/ope-outsapsrv.pem公司

注意：如果您不想自己签名，您也可以通过您的CA签名。

2。名为的新文件sapsrv.pem公司将在同一目录中创建，$SECURDIR

导入服务器证书：

/usr/sap/MN1/HDB60/vandevvmlnx011/sec>sapgenpse import\u own\u cert-csapsrv.pem公司-第sapsrv.pse公司-r CA公司_证书pem

2. 你可以看到文件sapsrv.pse公司从时间戳更新

将文件复制到其他节点…

请注意，必须为多主机系统中的每个主机创建一个专用证书。因此，按照上面的步骤创建一个sapsrv.pse公司文件和签署和导入它，在其他主机以及。

现在重新命名saprv.pse公司文件到sapsrv_内部.pse在所有三个节点中。例如在节点011中：

HANA Studio中的配置(全局.ini)：

对于系统复制：