PowerStore: Otomatik olarak imzalanan küme yönetimi sertifikasını harici bir sertifika yetkilisi tarafından verilen bir sertifikayla değiştirme

Not: PowerStore genel olarak GUI sertifikasını imzalayan 3. Taraf CA'ları desteklemez. Tarayıcı forumu, özel IP'ler kısıtlı listeye dahil olduğundan ve ayrıca PowerStore tarafından sertifikada gerekli olduğundan CA'ların sertifikada kısıtlanmış IP'lere sahip sertifikaları imzalamasını yasaklar CA isteği reddeder. 3. Taraf CA tarafından imzalanmış bir sertifika almanın tek yolu, yönetim ağı için bir ISP veya IANA tarafından sağlanan genel IP'leri kullanmaktır.

Bu makale, özel bir kuruluş CA'sı tarafından imzalanmış bir sertifikaya atıfta bulunur (örneğin, OpenSSL, Microsoft CA veya benzeri bir şey kullanılarak) 

Bu makalede PowerStoreOS 2.1 açıklanmaktadır. PowerStore OS'nin daha yeni sürümleri için bkz . PowerStore: İmzalı HTTPS Yönetim Sertifikası Oluşturma ve İçe Aktarma

PowerStore Management kendinden imzalı sertifikalarını CA tarafından verilen harici sertifikalarla değiştirmeye yönelik ilk destek, PowerStoreOS sürüm 2.1'de sınırlı bir biçimde gelir.
Küme yönetimi sertifikasının, HTTPS kullanarak kullanıcı arabirimi (UI) erişiminin güvenliğini sağlamanın yanı sıra çeşitli iç iletişimler vb. gibi başka kullanımları da vardır.

PowerStoreOS 2.1 sürümüyle sunulan özelliğin ilk tanıtımı sırasında aşağıdaki kısıtlamalar geçerlidir.

Bu kısıtlamalar ve sınırlamalar, özel CA imzalı sunucu sertifikası içe aktarımı için PowerStoreOS 2.1.x sürümü için geçerlidir. Bu kısıtlamalar ve sınırlamalar PowerStoreOS 3.0 veya sonraki sürümler için geçerli değildir.

• Üçüncü parti sertifika içe aktarımı üzerinde desteklenmez
  • Çok cihazlı bir küme
  • Başka bir kümeyle çoğaltma ilişkisi içinde olan bir küme
  • SDNAS'ın yapılandırıldığı küme
  • Birleşik sistem (Dosya + Blok)
• Bir küme için üçüncü parti sertifikası içe aktarıldıktan sonra orijinal PowerStore CA imzalı sertifikaya geri dönülmesi desteklenmez.
• Sertifika süresinin dolmasıyla ilgili olarak hiçbir uyarı oluşturulmaz.
• İçe aktarılacak sertifika en az 30 gün veya daha uzun süre geçerli olmalıdır.
• PowerStore Manager kullanıcı arayüzü kullanılarak üçüncü parti sertifika içe aktarımı desteklenmez.
• Üçüncü parti sertifika içe aktarımı yalnızca Yönetim trafiği ( Management_HTTP ) için desteklenir ve diğer hizmetler (VASA, Çoğaltma vb.) için desteklenmez.

Önemli: PowerStoreOS 2.1 çalıştırıyorsanız bu kısıtlamaları tamamen gözden geçirin ve anlayın. Sisteminiz yukarıda listelenen kategorilerden birine karşılık geliyorsa devam ETMEYİN. 

PowerStore Manager kullanıcı arayüzünü kullanarak harici bir Sertifika Yetkilisi tarafından verilen bir sertifikayı içe aktarma

Manuel cli prosedürü yalnızca PowerStoreOS 2.1 sürümünü çalıştıran sistemler için gerekli olmalıdır.
PowerStoreOS v3 ve sonraki sürümleri çalıştıran sistemlerde sertifikayı içe aktarmak için PowerStore Manager kullanıcı arayüzünü kullanın.
Daha fazla ayrıntı için bkz. PowerStore Güvenlik Yapılandırması Rehberi.

PowerStore Manager Web Kullanıcı Arayüzü İmzalı Küme Sertifikası Penceresi:

CLI kullanarak harici bir Sertifika Yetkilisi tarafından verilen bir sertifikayı içe aktarma

Adım 1 - Küme IPv4/IPv6 adresini alma

İlk adım, küme IPv4/IPv6 (Yönetim) adresini almaktır. Bu IP, geçerli kendinden imzalı Yönetim sertifikasına gömülüdür. Bu aynı zamanda PowerStore Manager kullanıcı arayüzüne bağlanmak için tarayıcınıza yazacağınız IP adresiyle de aynıdır.

Adım 1a

Tüm sertifikaların listesini alın.

$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show

 #  |                  id                  |  type  |     service      | is_current | is_valid
----+--------------------------------------+--------+------------------+------------+----------
  1 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP  | yes        | yes
  2 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP        | yes        | yes
  3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes        | yes
      <trimmed for brevity>

Hizmet Management_HTTP ve Server türüyle birlikte sertifikanın id alanını not edin.

Adım 1b

Geçerli kendinden imzalı Yönetim sertifikasının tüm ayrıntılarını öğrenin.
Aşağıdaki komutu çalıştırın ve id değerini Adım 1a'da aldığınız değerle değiştirin.

$  pstcli -u admin -p <password> -d <cluster_ip> x509_certificate -id 00907634-b4eb-446a-a381-aae685bae066 show

id           = 00907634-b4eb-446a-a381-aae685bae066
type         = Server
type_l10n    = Server
service      = Management_HTTP
service_l10n = Management_HTTP
is_current   = yes
is_valid     = yes
members:
  subject                   = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
  serial_number             = 14daac34e1db4711
  signature_algorithm       = SHA384withRSA
  issuer                    = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
  valid_from                = 11/16/21 23:16:33
  valid_to                  = 10/30/89 23:16:33
  public_key_algorithm      = RSA
  key_length                = 4096
  thumbprint_algorithm      = SHA-256
  thumbprint_algorithm_l10n = SHA-256
  thumbprint                = 279ea39ad7b8d2e0f3695a850a7d302e8318e080e1092fccb314c8f4f19e50a4
  certificate               = MIIFdDCCA1ygAwIBAgIIFNqsNOHbRxEwDQYJKoZIhvcNAQEMBQAwVzELMAkGA1UEBhMCVVMxCzAJBg
                              <trimmed for brevity>
                              Ar4eTY0aBe7R8fnSbg97EFqF+1gGhKlxrOU9AICgZJDh0PDQJRcYLFJBi36Ktt++mtRgpSig8VvypZ
  depth                     = 2
  subject_alternative_names =

  subject                   = C=US+O=Dell+L=Hopkinton+OU=PowerStore+ST=Massachusetts+CN=ManagementHTTP.xxxxxxxxxxxx
  serial_number             = xxxxxxxxxxxxx
  signature_algorithm       = SHA256withRSA
  issuer                    = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
  valid_from                = 11/16/21 23:56:23
  valid_to                  = 11/15/26 23:56:23
  public_key_algorithm      = RSA
  key_length                = 4096
  thumbprint_algorithm      = SHA-256
  thumbprint_algorithm_l10n = SHA-256
  thumbprint                = eedf2f9c1d0f70f018857110e87cd122f4fa31140e694c30b5ea10398629dbf1
  certificate               = MIIFejCCA2KgAwIBAgIJANlUDR+8+78qMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNVBAYTAlVTMQswCQ
                              <trimmed for brevity>
                              ZTShTW0BFh3IeAgt23Tlhz+npsJNqbvxXB+8hXqvNWcpzeSluiUalqB3qU9MwCzwHpEkXqagzk8EZM
  depth                     = 1
  subject_alternative_names = aaa.bbb.ccc.ddd, 1111:2222:3333:4444:5555:6666:7777:8888

Çıktıda iki sertifika alırsınız: PowerStore Dahili CA'sı ve bu Dahili CA tarafından imzalanan Yönetim sertifikası.
Yönetim sertifikasında derinlik = 1 alanı vardır ve subject_alternative_names alanı IPv4 ve IPv6 IP adresleriyle doldurulur.
Kümenizi yönetmek için IPv4 kullanıyorsanız, subject_alternative_names alanında ilk IPv4 Küme Yönetimi IP'sini görmelisiniz (yukarıdaki örnekte olduğu gibi - aaa.bbb.ccc.ddd). Kümenizi yönetmek için IPv6 kullanıyorsanız ilk IPv6 adresini not edin.

Adım 2 - Sertifika İmzalama İsteği (CSR) Oluşturma

Daha sonra imzalanmak üzere bir Sertifika Yetkilisine götürülen bir CSR oluşturma.

Adım 2a

CSR oluşturma konusunda yardım almak için aşağıdaki komutu çalıştırın ve söz dizimi hakkında bilgi edinin:

$ pstcli -u admin -p <password> -d <cluster_ip> help x509_certificate csr

x509_certificate csr -type { Server | Client | CA_Client_Validation | CA_Server_Validation } -service { Management_HTTP | Replication_HTTP | VASA_HTTP | Import_HTTP | LDAP_HTTP | Encrypt_HTTP | Syslog_HTTP } -dns_name <value>,...
-ip_addresses <value>,... -key_length <2048..4096> [ -scope <value> ] [ -common_name <value> ] [ -organizational_unit <value> ] [ -organization <value> ] [ -locality <value> ] [ -state <value> ] [ -country <value> ] [ { -passphrase
<value> | -passphraseSecure } ] [ -async ]
<trimmed for brevity>

Yukarıdaki kalın harflerle yazılmış seçenekler zorunludur, diğerleri isteğe bağlıdır. Şirket sertifika politikanız bu isteğe bağlı alanlardan herhangi birinin kullanılmasını gerektiriyorsa CA veya PKI Yöneticinize danışın.

Adım 2b

Yukarıdaki yönergeleri kullanarak bir CSR oluşturun.

$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate csr -type Server -service Management_HTTP -dns_name "powerstoreXY.mycompany.com" -ip_addresses aaa.bbb.ccc.ddd -key_length 2048 -scope "External" -common_name "powerstoreXY.mycompany.com"

Komutun çıktısı, BASE64 kodlamasında bir kimlik ve CSR döndürür. Örneğin:

  1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP | Management_HTTP | no         | no       | -----BEGIN CERTIFICATE REQUEST-----
MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ
<trimmed for brevity>
h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc
6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U= -----END CERTIFICATE REQUEST-----

Daha sonraki adımlar için gerekli olduğundan çıktıda aldığınız kimliği (yukarıda kalın yazılmıştır) kopyalayın.

Ayrıca CSR'yi biçimlendirmeniz gerekir (VIM veya Not Defteri gibi herhangi bir metin düzenleyicisi kullanarak). İlk satır -----BEGIN CERTIFICATE REQUEST----- olmalı, son satır ise -----END CERTIFICATE REQUEST----- ile bitmelidir. Hiçbir yerde başında veya bitişinde boşluk olmamalıdır.

Biçimlendirilmiş bir CSR örneği:

-----BEGIN CERTIFICATE REQUEST-----
MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ
SG9wa2ludG9uMBEGA1UECxMKUG93ZXJTdG9yZTAUBgNVBAgTDU1hc3NhY2h1c2V0
<trimmed for brevity>
h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc
6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U=
-----END CERTIFICATE REQUEST-----

 
CSR'nizi anlamlı bir adla bir dosyaya kaydedin. Örneğin: powerstoreXY.csr

Adım 2c (İsteğe bağlı)

CSR nizin doğru biçimlendirildiğinden eminseniz bu adımı atlayabilirsiniz.

Geçerliliğini doğrulamak isterseniz, okunabildiğini ve CSR alanlarındaki verilerin doğru göründüğünü onaylamak için OpenSSL araç paketini kullanabilirsiniz. Örneğin, Adım 2b'de verilen değerler kullanıldığında, CSR'deki kalın alanlar şunları yansıtmalıdır:

$ openssl req -in powerstoreXY.csr -noout -text

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Dell, L=Hopkinton, OU=PowerStore, ST=Massachusetts, CN=powerstoreXY.mycompany.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
                    <trimmed for brevity>
                    90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
                    b8:f5
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Subject Alternative Name:
                DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
    Signature Algorithm: sha256WithRSAEncryption
         15:f6:08:8e:ab:f6:07:91:82:ed:45:f0:d9:4d:8c:f5:c6:e3:
         <trimmed for brevity
         16:7d:6c:ff:f3:2b:19:a4:36:54:cd:d6:f8:aa:b4:89:c6:97:
         ec:d9:6b:a5

Her şey doğru görünüyorsa sonraki adıma geçin.

3. Adım - CSR'yi imzalanması için özel bir CA'ya gönderme

Bu adım, tedarikçiden tedarikçiye farklılık gösterir. Buradaki amaç, BASE64 olarak kodlanmış imzalı bir sertifika almak için satıcının önerilen prosedürlerini kullanarak CSR'nizi düzenleyen Sertifika Yetkilisine göndermektir.

Adım 3a

Yeni verilen sertifikanın BASE64 ile kodlanmış olduğunu doğrulayın. Dosyanın -----BEGIN CERTIFICATE----- ile başlayıp -----END CERTIFICATE----- ile bittiğinden ve arada kodlanmış veriler içerdiğinden emin olun.

$ cat powerstoreXY.cer
-----BEGIN CERTIFICATE-----
MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF
<trimmed for brevity>
7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9
l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE=
-----END CERTIFICATE-----

Adım 3b

Aldığınız sertifikanın, CSR oluştururken talep ettiğiniz özniteliklerin, özellikle de Konu Alternatif Adı'ndaki DNS ve IP adreslerinin değerlerini içerdiğini doğrulayın. Sertifikanın Sertifika Yetkilisi tarafından üretilmesi ve imzalanmasıyla ilgili prosedürlere bağlı olarak, sertifika bunları içerebilir veya içermeyebilir.

$ openssl x509 -in powerstoreXY.cer -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            74:00:00:00:0e:12:88:4a:4e:80:85:cb:82:00:01:00:00:00:0e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: DC=com, DC=mycompany, CN=Issuing CA
        Validity
            Not Before: Nov 26 16:51:16 2021 GMT
            Not After : Nov 26 16:51:16 2023 GMT
        Subject: C=US, ST=Massachusetts, L=Hopkinton, O=Dell, OU=PowerStore, CN=powerstoreXY.mycompany.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
                    <trimmed for brevity>
                    90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
                    b8:f5
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
            X509v3 Subject Key Identifier:
                1C:19:5D:DF:B4:F0:9F:B7:7B:2B:4A:0E:09:B3:C6:43:3E:CF:4D:4C
            X509v3 Authority Key Identifier:
                keyid:25:D0:D5:01:27:75:BD:08:FF:E7:FF:02:6C:CE:17:46:86:50:DD:71

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://pki.mycompany.com/pki/Issuing%20CA.crl

            Authority Information Access:
                CA Issuers - URI:http://pki.mycompany.com/pki/ca-iss.mycompany.com_Issuing%20CA.crt

            1.3.6.1.4.1.311.20.2:
                ...W.e.b.S.e.r.v.e.r
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
    Signature Algorithm: sha256WithRSAEncryption
         99:d9:99:a7:7a:b9:4a:e8:e3:66:ed:56:1f:6f:bc:71:b8:07:
         <trimmed for brevity>
         97:d7:56:a4:39:07:ea:6a:bf:7e:18:1a:30:d4:ff:be:e3:02:
         52:d0:f8:d1:f8:fc:d4:31

CSR'de istediğiniz DNS ve IP özniteliklerini sertifikanızın X509v3 Konu Alternatif Adı'nda (örnek yukarıda kalın olarak verilmiştir) görmüyorsanız, bu sorunu çözmek için CA Yöneticinize danışın.
Gerekli özniteliklerin sertifikada mevcut olduğunu doğrulayana kadar devam ETMEYİN.

Adım 3c

Bu adım, PowerStore sertifikanızın yanı sıra sertifikanızı imzalama sürecine dahil olan hiyerarşi içindeki tüm CA'ların sertifikalarını kapsaması gereken tek bir kodlanmış BASE64 dosyasında eksiksiz bir sertifika zinciri oluşturma işlemini içerir.

Aşağıdaki varlıklardan oluşan varsayımsal bir Ortak Anahtar Altyapısı (PKI) kullanın:

Kök CA > Veren CA > Yaprağı

Nereden

• Kök CA - hiyerarşinin en üstündedir ve yalnızca Sertifika Veren CA'lar için sertifikalar imzalar ve verir. Genellikle uç noktalar için sertifikaların imzalanmasına hiçbir zaman dahil edilmez.
• Sertifika veren CA : Bu, genellikle çeşitli uç noktalara sertifika veren şeydir.
• Leaf : iş istasyonları, sunucular vb. uç noktalar. PowerStore sisteminiz bu kategoriye girer.

PowerStore sertifikanızın nasıl verildiğine bağlı olarak, geri aldığınız dosya PowerStore uç noktanız için yalnızca tek bir sertifika (yaprak) veya tüm zinciri (yaprak + veren CA + rootCA) içerebilir. Sonraki adımlarda, yalnızca tek yaprak (leaf) sertifikası içeren bir dosyayı PowerStore'a aktaramazsınız. Üç (veya zincirde daha fazla CA'nız varsa daha fazla) sertifikayı içeren tek bir BASE64 kodlu PEM dosyası olarak tam bir zincir (yaprak + verenCA + rootCA) oluşturmanız gerekir.

Henüz sahip değilseniz Sertifika Veren CA'nız ve Kök CA'nız için BASE64 ile kodlanmış sertifikalar edinmeniz ve bunları PowerStore'un yaprak sertifikasıyla tek bir PEM dosyasında birleştirmeniz gerekir:

$ cat powerstoreXY.cer issuingca.cer rootca.cer > combined.pem

Combined.pem dosyasını bir metin düzenleyicide açın ve sondaki veya baştaki boşlukları ve boş satırları kaldırın. Ayrıca, sertifikaların gövdesi (BEGIN/END CERTIFICATE etiketleri arasındaki veriler) tek satırlık bir dize olmalıdır.
Elde edilen combined.pem dosyası aşağıdaki örneğe benzer görünmelidir:

$ cat combined.pem
-----BEGIN CERTIFICATE-----
MIIGFjCCA/6gAwIBAgITdAAAAkiG9w0BAQs<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZF0fj81DE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGXjCCBEagAwIBDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8fGI4iLyh5kWjnWW2SZVI4wWQ=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFCzCCAvOgAwIyoqhkiG9w0BAQ0FAuDAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxupm288LcH3UU3iGHx0tHieAGEkT0=
-----END CERTIFICATE-----

4. Adım - İmzalı sertifika zincirini içe aktarma

Bu son adımda, yeni imzalı sertifikanız ve tüm CA'lardan oluşan tüm zinciri içe aktararak PowerStore kendinden imzalı sertifikasını değiştirirsiniz. Adım 2b'de oluşturduğunuz sertifika kimliğine ihtiyacınız vardır.

Bir yere yazmadıysanız, bu kimliği tekrar almak için aşağıdaki komutu çalıştırın:

$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show
 #  |                  id                  |  type  |     service      | is_current | is_valid
----+--------------------------------------+--------+------------------+------------+----------
  1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP  | no         | no
  2 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP  | yes        | yes
  3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes        | yes
  4 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP        | yes        | yes

Geçerli DEĞİL ve güncel OLMAYAN hizmet sertifikası Management_HTTP. Yukarıdaki örnekte, ihtiyacınız olan kimlik 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd'dir.

Zinciri içe aktarmak için aşağıdaki komutu çalıştırın:

$ pstcli -u admin -p <password> -d <cluster_id> x509_certificate -id <cert_id> set -is_current true -certificate '<contents_of_the_combined.pem_file>'

Örneğin:

pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----\n[...Single line PowerStore certificate content...]\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n[...Single line CA Certificate certificate content...] \n-----END CERTIFICATE-----'

Alternatif olarak, PSTCLI ile bir linux istasyonu kullanırken (PowerStore'daki SSH gibi), BASH yorumlayıcısına biçimlendirme de dahil olmak üzere $ ' arasındaki herhangi bir şeyi aynen olduğu gibi kullanmasını söyleyebilirsiniz. Bu örnekte, "yeni satır \n" eklemek gerekli değildir:

pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----
MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGXjCCBEagAwIBAgITQgAAAARkLTTf7tqFAQAAAAAABDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8o65kK+qWvvYG10PbMbIYxxm/zyofGI4iLyh5kWjnWW2SZVI4wWQ=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFCzCCAvOgAwIBAgIQad6TNg7Pqa5HsuYzLFAK5jANBgkqhkiG9w0BAQ0FADAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxOdBGBBENLQnD6U6HkA4FO/jVbXR2B793giBmi9w85+B7obgWPSTypIgA+LKG3nE0jf5AW5LnOV+gQDCOsSJlGpm288LcH3UU3iGHx0tHieAGEkT0=
-----END CERTIFICATE-----'

Bu noktada, yeni sertifikanın yüklenmiş ve çalışır durumda olması gerekir. Yeni sertifikayı görmek için tarayıcınızı kapatıp yeniden başlatmanız gerekir. PSTCLI ile yeniden bağlanmak, sertifika parmak izinin değiştiğine dair bir uyarı da verir ve bu da yeni sertifikanın başarıyla yüklendiğinin bir göstergesidir.