Parameter:
CertMgr_MaxRedirHTTPChallengeKurzbeschreibung: Maximale Anzahl HTTP-Redirects, denen CertMgr beim Verifizieren einer ACME-HTTP-01-Challenge folgt. Default 5. 0 deaktiviert das Folgen von Redirects.
Steckbrief
Parameter | CertMgr_MaxRedirHTTPChallenge |
Kategorie | Security / TLS (Certificate Manager / ACME-HTTP-01) |
Verfügbar seit | Mindestens 12.0.1 — belegt durch die HCL-CertMgr-Maintainer-Präsentation Domino V12.0.1 Certificate Management (Nash!Com); nicht im HCL-Hauptdoku-Index gelistet |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | Ganzzahl ≥ 0 (z. B. 0, 1, 5, 10) |
Default | 5 Redirects pro Request |
Beschreibung
Laut der HCL-Maintainer-Präsentation Domino V12.0.1 Certificate Management (Nash!Com / HCL-CertMgr-Maintainer Daniel Nashed):
Configurable Follow Redirects for Curl Requests — LibCurl requests by default do not follow redirects. ACME challenge verification in V12.0 used an own logic to follow redirects. Changed to use core LibCurl functionality to follow redirects. Default: 5 redirects per request. Notes.ini:CertMgr_MaxRedirHTTPChallenge=n(can be also set to zero).
Mit
CertMgr_MaxRedirHTTPChallenge wird festgelegt, wie vielen HTTP-Redirects der Certificate Manager (CertMgr) beim internen Self-Check einer ACME-HTTP-01-Challenge maximal folgt, wenn er die Erreichbarkeit der Challenge-URL prüft. Hintergrund: ACME-HTTP-01-Anfragen starten immer auf Port 80; das Ziel kann aber per HTTP-Redirect auf einen anderen Server, Port 443 oder einen anderen Pfad umgeleitet werden. CertMgr folgt diesen Redirects, um konsistent das gleiche Ergebnis zu erzielen wie der externe ACME-Provider.In Domino 12.0 verwendete CertMgr eine Eigen-Logik zum Folgen von Redirects; ab Domino 12.0.1 nutzt CertMgr die Standard-Funktionalität der eingebauten LibCurl-Library. Da LibCurl per Default keinen Redirects folgt, wurde dieser Parameter mit Default
5 eingeführt, damit der bisherige Workflow erhalten bleibt.Beispiel-Konfiguration
Keinen Redirects folgen (strikter Mode):
CertMgr_MaxRedirHTTPChallenge=0
Mehr Redirects erlauben (z. B. für Setups mit mehrstufigem Reverse-Proxy):
CertMgr_MaxRedirHTTPChallenge=10
Hinweise & Stolperfallen
- Eingeführt in Domino 12.0.1. In Domino 12.0 nicht verfügbar (dort eigene Redirect-Logik mit fester Tiefe).
- Wirkt nur für den Self-Check der ACME-HTTP-01-Challenge — die ACME-Protokoll-Kommunikation selbst folgt nie Redirects (laut Nash!Com-Präsentation: ACME communication by default allows not redirects).
- Verwandte Parameter:
CertMgr_NoVerifyHTTPChallenge=1(Self-Check ganz überspringen) undCertMgr_MaxRedirDNSProvide=n(Redirects für DNS-TXT-Provider-Aufrufe; dort Default0).
- Hohe Werte (≫ 10) können Redirect-Loops kaschieren — lieber die Redirect-Konfiguration im vorgelagerten Reverse-Proxy/LB konsolidieren.
Quellen
- HCL-CertMgr-Maintainer-Präsentation Domino V12.0.1 Certificate Management (Nash!Com / Daniel Nashed): www.nashcom.de/presentations/Domino-12.0.1-CertMgr.pdf
- Offizielles HCL-Repo domino-cert-manager (Maintainer-Bestätigung): github.com/HCL-TECH-SOFTWARE/domino-cert-manager/discussions/3
- HCL Domino – Troubleshooting ACME HTTP-01 challenges (offizielles HCL-Software-Repo): github.com/HCL-TECH-SOFTWARE/domino-cert-manager/blob/main/docs/troubleshooting_acme_challenges.md
- HCL Domino 14.5.1 – CertMgr notes.ini settings (Übersicht der "klassischen" CertMgr-Parameter): help.hcl-software.com/domino/14.5.1/admin/secu_le_notesini_settings.html