2020-08-17 21:09发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
我想寻求帮助以使ADS FIPS模块正常工作。 我已经尝试过ADS 12.0.0.2。 我大概花了两个星期的时间试图使它正常工作。 我不确定我是否可以正确生成证书,但是无法找到适用于Windows的openssl版本。 我尝试过的每个人都说FIPS选项不可用。
我已经阅读并重新阅读了帮助文件。 似乎很简单,但不是我想要的。 我想如果我有一个好的证书,那就可以了。
如果有人能指出正确的方向,我将不胜感激。
这对我有用:
如果这不起作用,请告诉我们在哪一步以及收到什么错误。
此致
Mike Loop SAP高级产品支持工程师
Mike,
成功-非常感谢。 在第14步中,我使用了与DD的连接,所以它不起作用。 当我将连接更改为目录时,它运行良好。
现在有了这个,我得到True,AES256,True,SMC,null,运行时为null
执行过程sp_GetSecurityInfo()。 帮助文件显示AES256是该连接的加密。 这样对吗? 那么,用于TLS的CommunicationType的DD连接上的TLSCipher和TLSVersion是什么? 我只是假设这些是FIPS的一部分。 这些被认为是更安全的方法吗?如果您不介意,能否解释一下如何使用它们? 再次感谢。
John
对此进行更新。
所引用的openssl会生成错误,因此证书无法正确生成。 运行makecert.bat不会出现错误。 我是通过运行openssl.exe来找到它的,它会打开命令提示符。 然后,我尝试仅执行
OpenSSL> ca -config C:\ adscert \ openssl.cnf -in C:\ adscert \ testreq.pem -passin pass:mypassword -out C:\ adscert \ signedcert.pem 使用来自C:\的配置 adscert \ openssl.cnf 配置OpenSSL模块时出错 2760:错误:060B10A7:数字信封例程:alg_module_init:不支持fips模式:crypto \ evp \ evp_cnf.c:40: 2760:错误:0E07606D :配置文件例程:module_run:模块初始化错误:crypto \ conf \ conf_mod.c:177:module = alg_section,value = algs,retcode = -1 2760:错误:060B10A7:数字信封例程:alg_module_init:fips模式 不支持:crypto \ evp \ evp_cnf.c:40: 2760:错误:0E07606D:配置文件例程:module_run:模块初始化错误:crypto \ conf \ conf_mod.c:177:module = alg_section,value = algs, retcode = -1 ca OpenSSL>中的错误
它表明此版本不支持FIPS。
此外,我从未被提示对文件签名。
从此处使用openssl库 https://github.com/shadman/openssl- fips-module-build
我能够获得良好的证书文件。 一旦获得了良好的证书,TLS通讯就可以正常工作。 因此,这些步骤概述了工作,只是用于生成证书的openssl库不支持FIPS。 另外,在ARC中将CommunicationType设置为tls。 当我运行
执行过程sp_GetSecurityInfo()我现在得到
True,AES256,True,TLS,AES256-SHA,TLSv1/SSLv3,而不是
True,AES256,True,SMC,null,null。
希望这对某人有帮助。
John,
感谢您分享您的经验。
很抱歉没有更早回复,也没有注意到您之前的问题。/p>
AES-256是加密密码。
TLS是通信协议。 它具有1.0、1.1、1.2和1.3三个版本。 当前,Advantage仅支持1.0。
密码套件是密码在不同上下文(密钥交换,批量加密,消息身份验证)中使用的算法的集合。 可以将相同的密码用于这些任务中的每一个,但是将使用不同的算法。
FIPS不是加密工具,而是由美国国家标准技术研究院(NIST)制定的一组计算机安全标准。 如果加密软件包符合该标准中定义的所有标准,则符合FIPS。
我希望这会有所帮助。
Michael,
甚至有可能使用大于1.0的TLS版本,或者这是ADS中必须内置的东西吗? 是否有任何计划为ADS添加更高的TLS支持? ASA的静止和运动安全性是否相同? 对于ASA,我不喜欢的是所有表都在一个文件中。 谢谢。
将TLS与Advantage一起使用需要签名的SAP库,目前,最新的库仅支持TLS 1.0。 计划在将来的版本中使用更高的版本。
我不确定您所说的"静态和动态安全性"是什么意思。 如果您指的是加密文件和加密通信,则ASA(我们现在称为SQL Anywhere)确实支持最新的协议和密码。 在最新版本中,加密库已从OpenSSL更改为SAP CCL。
确实,SQL Anywhere中的所有表都保存在一个文件中。 对于大多数(如果不是全部)非ISAM数据库,这都是正确的。 这次安排有什么特别困扰您的事情?
最多设置5个标签!
这对我有用:
TLS_KEY_FILE = C:\ adscert \ servercert.pem
TLS_KEY_PASSWORD = password li>
64位:文件大小应为:
ssleay32.dll:352 KB( 360,912字节)
libeay32.dll:1.92 MB(2,015,696字节)
32位:文件大小应为:
ssleay32.dll:276 KB(283,600字节)
libeay32.dll :1.33 MB(1,397,200字节)
这些文件的属性的数字签名应全部显示:
签名者名称:SAP
数字算法:sha1
时间戳:星期二, 十二月22,2015 10:40:?? AM(秒值因文件而异)。
BlankPassword = no
DataEncryptionType = aes256
TLSCertificate = C:\ adscert \ clientcert.pem
TLSCipherSuite = aes256sha
TLSCommonName = www.mysite.com
执行过程sp_GetSecurityInfo()
执行过程sp_SetDDEncryptionType('C:\ mypath \ MyDD.add','myAdssysPassword','myNewDDPassword','AES256 ',1);
如果这不起作用,请告诉我们在哪一步以及收到什么错误。
此致
Mike Loop
SAP高级产品支持工程师
Mike,
成功-非常感谢。 在第14步中,我使用了与DD的连接,所以它不起作用。 当我将连接更改为目录时,它运行良好。
现在有了这个,我得到True,AES256,True,SMC,null,运行时为null
执行过程sp_GetSecurityInfo()。 帮助文件显示AES256是该连接的加密。 这样对吗? 那么,用于TLS的CommunicationType的DD连接上的TLSCipher和TLSVersion是什么? 我只是假设这些是FIPS的一部分。 这些被认为是更安全的方法吗?如果您不介意,能否解释一下如何使用它们? 再次感谢。
John
对此进行更新。
所引用的openssl会生成错误,因此证书无法正确生成。 运行makecert.bat不会出现错误。 我是通过运行openssl.exe来找到它的,它会打开命令提示符。 然后,我尝试仅执行
行OpenSSL> ca -config C:\ adscert \ openssl.cnf -in C:\ adscert \ testreq.pem -passin pass:mypassword -out C:\ adscert \ signedcert.pem
使用来自C:\的配置 adscert \ openssl.cnf
配置OpenSSL模块时出错
2760:错误:060B10A7:数字信封例程:alg_module_init:不支持fips模式:crypto \ evp \ evp_cnf.c:40:
2760:错误:0E07606D :配置文件例程:module_run:模块初始化错误:crypto \ conf \ conf_mod.c:177:module = alg_section,value = algs,retcode = -1
2760:错误:060B10A7:数字信封例程:alg_module_init:fips模式 不支持:crypto \ evp \ evp_cnf.c:40:
2760:错误:0E07606D:配置文件例程:module_run:模块初始化错误:crypto \ conf \ conf_mod.c:177:module = alg_section,value = algs, retcode = -1
ca
OpenSSL>中的错误
它表明此版本不支持FIPS。
此外,我从未被提示对文件签名。
从此处使用openssl库 https://github.com/shadman/openssl- fips-module-build
我能够获得良好的证书文件。 一旦获得了良好的证书,TLS通讯就可以正常工作。 因此,这些步骤概述了工作,只是用于生成证书的openssl库不支持FIPS。 另外,在ARC中将CommunicationType设置为tls。 当我运行
执行过程sp_GetSecurityInfo()我现在得到
True,AES256,True,TLS,AES256-SHA,TLSv1/SSLv3,而不是
True,AES256,True,SMC,null,null。
希望这对某人有帮助。
John,
感谢您分享您的经验。
很抱歉没有更早回复,也没有注意到您之前的问题。/p>
AES-256是加密密码。
TLS是通信协议。 它具有1.0、1.1、1.2和1.3三个版本。 当前,Advantage仅支持1.0。
密码套件是密码在不同上下文(密钥交换,批量加密,消息身份验证)中使用的算法的集合。 可以将相同的密码用于这些任务中的每一个,但是将使用不同的算法。
FIPS不是加密工具,而是由美国国家标准技术研究院(NIST)制定的一组计算机安全标准。 如果加密软件包符合该标准中定义的所有标准,则符合FIPS。
我希望这会有所帮助。
Michael,
甚至有可能使用大于1.0的TLS版本,或者这是ADS中必须内置的东西吗? 是否有任何计划为ADS添加更高的TLS支持? ASA的静止和运动安全性是否相同? 对于ASA,我不喜欢的是所有表都在一个文件中。 谢谢。
John
将TLS与Advantage一起使用需要签名的SAP库,目前,最新的库仅支持TLS 1.0。 计划在将来的版本中使用更高的版本。
我不确定您所说的"静态和动态安全性"是什么意思。 如果您指的是加密文件和加密通信,则ASA(我们现在称为SQL Anywhere)确实支持最新的协议和密码。 在最新版本中,加密库已从OpenSSL更改为SAP CCL。
确实,SQL Anywhere中的所有表都保存在一个文件中。 对于大多数(如果不是全部)非ISAM数据库,这都是正确的。 这次安排有什么特别困扰您的事情?
一周热门 更多>