Parameter:
CertMgr_NoVerifyHTTPChallengeKurzbeschreibung: Deaktiviert die interne HTTP-01-Challenge-Verifizierung durch CertMgr vor der Bestätigung im ACME-Flow. Nützlich, wenn der Server die Challenge intern nicht erreichen kann, der ACME-Provider sie aber von außen verifizieren kann.
Steckbrief
Parameter | CertMgr_NoVerifyHTTPChallenge |
Kategorie | Security / TLS (Certificate Manager / ACME-HTTP-01) |
Verfügbar seit | Mindestens 12.0.1 (HCL-Dokumentation — GitHub-Troubleshooting & KB-Artikel) |
GUI-Entsprechung | Nur notes.ini — in Domino 12.0 ausschließlich über CLI-Option -g (z. B. load certmgr -g) |
Mögliche Werte | 0 (Default, Verifizierung aktiv) oder 1 (interne Verifizierung deaktiviert) |
Default | 0 (Verifizierung aktiv) |
Beschreibung
Laut HCL-Produktdokumentation (GitHub-Repo domino-cert-manager, Troubleshooting ACME HTTP-01 challenges):
By default CertMgr verifies the HTTP-01 challenge before confirming the HTTP-01 in the ACME protocol flow. … In case your Domino server cannot resolve the hostname(s) in the certificate requested or you have no HTTP connection to your server from the CertMgr server, you can disable the verification step. … Domino V12.0.1 introduces a new notes.ini parameterCertMgr_NoVerifyHTTPChallenge=1to disable the verification step.
und laut HCL-KB-Artikel KB0100248 (Errors occur when renewing certificates using Let's Encrypt):
If there are connectivity errors, place the parameterCertMgr_NoVerifyHTTPChallenge=1in the server notes.ini which disables the verification step.
Mit
CertMgr_NoVerifyHTTPChallenge=1 überspringt der Certificate Manager (CertMgr) seinen eigenen, lokalen Self-Check, ob die ACME-HTTP-01-Challenge über den eigenen Hostnamen auflösbar und via HTTP/Port 80 erreichbar ist. Standardmäßig führt CertMgr diesen Check vor der Bestätigung der Challenge im ACME-Protokoll-Flow aus, um sicherzustellen, dass die Challenge-Daten in certstore.nsf korrekt ausgeliefert werden, bevor der ACME-Provider seinen externen Verify-Lauf startet.In bestimmten Netzwerk-Konfigurationen (interne vs. externe DNS-Auflösung, Split-Horizon-DNS, GeoFencing, asymmetrisches Routing) kann dieser interne Self-Check fehlschlagen, obwohl der ACME-Provider die Challenge von außen problemlos abrufen kann. Genau für diese Fälle ist der Parameter gedacht.
Beispiel-Konfiguration
CertMgr_NoVerifyHTTPChallenge=1
In Domino 12.0 (vor Einführung des notes.ini-Parameters) äquivalent auf der Konsole:
load certmgr -g
Hinweise & Stolperfallen
- Eingeführt in Domino 12.0.1. In Domino 12.0 nur über CLI-Option
-gmöglich.
- Sollte nur gesetzt werden, wenn der Self-Check tatsächlich fehlschlägt — anderenfalls ist die zusätzliche Prüfung wertvoll, weil sie Probleme vor dem ACME-Verify-Lauf aufdeckt (Rate-Limit-schonend).
- Vor dem Setzen alternative Lösungen prüfen:
HTTPPUBLICURLS=/.well-known/acme-challenge/*setzen, DNS-Auflösung des eigenen Hostnamens reparieren, Hosts-Datei-Eintrag, IPv6/IPv4-Konsistenz.
- Greift nur für ACME-HTTP-01-Challenges — ACME-DNS-01 ist davon nicht betroffen.
Quellen (HCL Product Documentation)
- HCL Domino – Troubleshooting ACME HTTP-01 challenges (offizielles HCL-Software-Repo): github.com/HCL-TECH-SOFTWARE/domino-cert-manager/blob/main/docs/troubleshooting_acme_challenges.md
- HCL Software Support – KB0100248 Errors occur when renewing certificates using Let's Encrypt: support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0100248
- HCL Domino 14.5.1 – CertMgr notes.ini settings (Übersicht): help.hcl-software.com/domino/14.5.1/admin/secu_le_notesini_settings.html