首先,
由于SAP Analytics Cloud(SAC)从wave 2019.01开始已停止接受HTTPS INA live connections的自签名SSL证书,我最终将自签名的HANA Express SSL证书替换为等效的CA签名SSL证书。
摘要:
简而言之,SAP分析工具(如SAC、Analysis for Office、BW4H、BOE with Lumira 2.x、Analysis for OLAP或WebIntelligence)严重依赖安全的HTTPS INA协议,企业信息软件,通过SAP HANA EPM-MDS引擎动态使用SAP HANA计算视图。
这被称为实时/在线/远程连接,数据总是最新的,与先获取/离线/导入选项不同,后者需要先获取数据,然后按计划刷新数据。
我投入了大量时间和精力,以建立一个可行的测试平台,重点放在前端SAP分析应用程序上,这些应用程序依赖于基于安全HTTP INA协议的连接[使用或没有SSO到后端HANA数据库]并且可以使用HANA HDI视图(即不再绑定到默认\u SYS\u BIC架构的视图)。
如您所知,SAP HANA Express 2.x ready to deploy映像为HTTPS INA(在租户上运行的XS classic引擎)的安全域实现几个自签名SSL证书数据库)、XSA(XS-Advanced)和LCM通过web访问。
如上所述,构建云服务器,最近发现有必要实现用可信CA(证书颁发机构)签名的可信SSL证书,而不是依赖自签名证书,我决定分享我在"驯服您的SAP HANA Express"系列博客文章中的经验。
让我说清楚,我对部署在AWS上的HXE SAPCAL映像非常满意;部署和运行此映像需要45分钟。
它是一个很棒的HANA设备!向整个SAPCAL团队致意!
为了方便和透明,本文中的大多数URL没有混淆。它们指的是部署在AWS上的股票HANA Express实例,不会泄露任何商业秘密。
让我们开始:
首先,我在运行索引服务器和webdispatcher的租户数据库上启动了HTTPS INA协议并运行良好;(这一点非常重要,淘客,因为对于多租户数据库而言,既没有索引服务器,大数据的发展前景,也没有网络调度器)webdispatcher可在系统数据库上运行)
此设置用于针对SAP Analytics Cloud waves 18到22开箱即用(即使用Chrome浏览器中的自签名SSL证书);
那么…?
WebDispatcher FQDN的FQDN设置为vhcalhxedb.sap.corp公司;但这个名字可以是ateam.sap公司等等,
让我们确保FQDN可以解析为IP地址。以下摘录显示了编辑后的OS hosts系统文件:
vi/etc/hosts
#
#
IP地址完全限定主机名短主机名
#
#127.0.0.1 localhost sid-hxe.虚拟.节点域sid hxe
127.0.0.1本地主机
10.0.0.11 sid-hxe.虚拟.节点域希德hxe
10.0.0.11vhcalhxedb.sap.corp公司vhcalhxedb
另外,为了防止SAPCAL映像更改主机名
sid hxe:~#cat/etc/hostname
sid hxe
防止设备在启动时更改主机名
sid hxe:~#vi/etc/init.d/updatehosts
sid hxe:~#cat/etc/init.d/updatehosts
if["$1"=="start"];然后
#注释掉下面的行,以防止主机名更改
#/sbin/更新主机.sh
否则
echo"$0$1不做任何事"
fi
退出$?
sid hxe:~#
根据wiki的建议,CA签名的可信证书已经实现到PSE中SAPSSLS.pse公司如下所示。(您会注意到我们仍然在服务URL中使用vhcalhxedb名称):
我重新创建了PSE,创建了CSR
然后导入了CA响应(完整的证书链)
最终结果如下:
调度程序参数仍然将设备主机名显示为vhcalhxedb,而不是FQDNvhvalhxedb.sap.corp公司? 出了什么问题?
起初我认为我必须重命名HANA设备主机,即将vhcalhxedb重命名为FQDNvhvalhxedb.sap.corp公司
我确实认为,最终,这可能是让FQDN在URL中一劳永逸的最好方法。顺便说一句,有一篇很好的文章解释了如何重命名HANA主机。然而,我并没有求助于它;
相反,我使用了HANA驾驶舱,并通过位于的XSA HANA驾驶舱在HANA配置文件中搜索所有出现的vhcalhxedbhttps://vhcalhxedb.sap.corp:51045/sap/hana/驾驶舱/景观/索引.html
[我必须承认我已经将XSA引擎的域从vhcalhxedb重命名为vhcalhxedb.sap.corp公司最初至证明这是可以做到的,但更重要的是,XSA与传统的XS完全不同,HANA设备主机名(=vhcalhxedb)也与XSA和XS引擎或操作系统主机名分开]
我发现索引引擎的公共URL(xsengine.ini文件)是那种形式的:8090和https://vhcalhxedb:4390所以我将它们编辑为遵循
然后我重新启动了HANA DB设备。
之后,返利机器人是真的吗,GetServerInfo中HTTPS的FQDN URL可以显示XS经典域的可信(CA签名)和有效(CN==URL主机名)证书:
,短名称URL不再工作:
将FQDN URL同样显示到webdispatcher管理控制台显示有效且可信的证书
,短名称URL不再工作:
从这一刻起,我可以开始使用FQDN,即vhcalhxedb.sap.corp公司在SAC连接定义中,在BOE HANA信托定义等…
在本系列的下一期中,我将解释XSA域强化以及SAP HANA Shine XSA应用程序中HANA HDI视图在各种SAP报告工具中的使用…