DEBUG_TLS – Detailliertes TLS-Handshake-Logging aktivieren

🛠️

Parameter: DEBUG_TLS

Kurzbeschreibung: Detailliertes TLS-Handshake-Logging (Zertifikatskette, Cipher-Aushandlung, Alerts) – Nachfolger von DEBUG_SSL_ALL mit OpenSSL-Backend

Steckbrief

Parameter	`DEBUG_TLS`
Kategorie	Logging / Debug
Komponente	Server
Verfügbar seit	12.0
Unterstützte Versionen	12.0, 14.0, 14.5, 14.5.1
GUI-Entsprechung	Nur notes.ini (keine GUI)
Mögliche Werte	0 = aus, 1 = Handshake-Info, 2 = Verbose (inkl. Key-Material-Hinweise)

Beschreibung

Mit dem Wechsel von der alten GSKit-Bibliothek auf OpenSSL hat HCL DEBUG_TLS als zentralen Schalter für TLS-Diagnose eingeführt. Stufe 1 zeigt pro Verbindung Cipher-Wahl, ausgehandelte Protokollversion, ALPN-Handshakes und etwaige Alert-Codes; Stufe 2 schreibt zusätzlich Hinweise zum Schlüsselmaterial (jedoch keine Klartext-Keys).

Unverzichtbar bei Zertifikats-/Cipher-Streit zwischen Domino und Reverse-Proxy, Loadbalancer oder modernen Clients.

Beispiel-Konfiguration


DEBUG_TLS=1

Hinweise & Stolperfallen

Stufe 2 nur temporär setzen – erzeugt sehr viel Output.

Ergänzt sich mit DEBUG_CERTMGR, SSL_DISABLE_TLS_*, TLSCipherList.

Output landet in der Konsole / Debug_Outfile.

Vor Tests wireshark-Mitschnitt parallel ziehen – erspart oft Mehrfachläufe.

Änderung wirkt sofort per set config Reload bzw. nach Restart der TLS-nutzenden Tasks.