代码和编译
下载git
yum install git
安装go
wget https://storage.googleapis.com/golang/go1.14.linux-amd64.tar.gz
(或者从https://golang.google.cn/dl/或者https://studygolang.com/dl下载)
tar -zxf go1.14.linux-amd64.tar.gz -C /usr/local/
在 /etc/profile 添加:
#go安装路径 export GOROOT=/usr/local/go #go代码的运行路径 export GOPATH=/home/test export PATH=$PATH:$GOROOT/bin然后执行 source /etc/profile
也可以不安装go,直接运行其他环境上生成的二进制文件,
编译二进制文件:go build xxxx
下载quic-go代码
#老的路径是github.com/lucas-clemente/quic-go go get -v -t -u github.com/quic-go/quic-go依赖库被墙:golang.org/x/下不下来,需要设置代理
推荐方法:
设置环境变量(~/.bashrc等)
export GO111MODULE=on export GOPROXY=https://goproxy.cn,direct注:go1.13以上才支持这种方式,go version确定版本,低的话需要升级
如果go下载有问题可以使用git clone https://github.com/quic-go/quic-go.git
然后go build或者go run自动下载依赖库
提示错误:
error: RPC failed; curl 56 OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 10054 fatal: the remote end hung up unexpectedly fatal: early EOF fatal: index-pack failed一般是本地缓存不够,可重新设置:
git config http.postBuffer 524288000有时候直接重新下载也会成功。
证书和密钥
服务端代码example/main.go默认读取quic-go/internal/testdata下的cert.pem和priv.key;
客户端代码example/client/main.go默认加载系统ca证书。
客户端quic-go/internal/testdata下的根证书ca.pem需要加载到系统中,见客户端增加证书信任机构章节
查看证书内容:
openssl x509-incert.pem-text-noout证书的域名如图所示:
使用localhost访问
如果是服务端和客户端都在本地,可以直接使用quic-go/internal/testdata下的ca和证书。
系统CA池在windows上可能获取不到,client可以修改为用局部pool(example/client/main.go):
pool, err := x509.SystemCertPool() 修改为 pool := testdata.NewCertPool()制作证书(使用localhost访问不需要)
生成ca证书
internal/testdata下的ca证书没有配套的key,没办法颁发服务端证书,重新生成ca.pem和ca.key(可参考internal/testdata下的generate_key.sh):
openssl req-x509-sha256-nodes-days3650-newkeyrsa:2048\-keyoutca.key-outca.pem\-subj"/O=quic-go Certificate Authority/"确定需要使用的域名,比如www.example.com,server的IP地址,比如172.2.202.17
颁发证书
1、编写配置文件
catexample.cnf[req]default_bits=2048distinguished_name=req_distinguished_name req_extensions=req_ext prompt=no[req_distinguished_name]countryName=CN stateOrProvinceName=Beijing localityName=Beijing organizationName=Example Inc commonName=example.com[req_ext]subjectAltName=@alt_names[alt_names]DNS.1=example.com DNS.2=www.example.com IP.1=192.168.1.82、CA颁发证书
openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config example.cnf #使用刚才生成的ca.pem和ca.key颁发 openssl x509 -req -in example.csr -CA ca.pem -CAkey ca.key -CAcreateserial -out example.crt -days 365 -extensions req_ext -extfile example.cnf # 代码中使用的是cert.pem cp example.crt cert.pem本地认证和寻址
修改客户端DNS(使用localhost可略过)
修改/etc/hosts
增加 172.2.202.17 www.example.com(本机测试用127.0.0.1)
重启网络服务或者重启linux:
sudosystemctl restart systemd-resolvedwindows上hosts位置:c:/windows/system32/drivers/etc/hosts
修改后刷新ipconfig /flushdns
查看是否生效ipconfig /displaydns
修改服务端DNS
再hosts中增加:
0.0.0.0 example.com
客户端增加证书信任机构
Ubuntu
cp ca.crt /usr/local/share/ca-certificates(颁发机构证书) update-ca-certificatescentOS
cp cacert.crt /etc/ssl/certs/ update-ca-trust编译go
若提示招不到某import包,先检查执行目录是否正确,一般需要在github.com/lucas-clemente/quic-go下执行,然后确定环境变量GOMOD是否正确,如:
"/home/mylib/src/github.com/lucas-clemente/quic-go/go.mod"到代码目录下编译二进制文件(qui-go/example/):
go build -o server cd client go build -o client老的go版本需要在quic-go下执行
go mod init go mod vendor新的go版本如果提示依赖找不到可以执行go mod tidy
创建http数据
源码中给出了/demo/tile、/demo/tiles、/demo/echo等的http处理,客户端访问这几个url不需要特别处理
但如果直接获取/服务端默认返回index.html,需要自己创建文件
<html> <head> <title> </title> </head> <body> HELLO WORLD!! </body> </html>请求具体数据test001.dat,可以随便加内容
证书加载
源码中默认放在lucas-clemente/quic-go/internal\testdata下,但源码中测试的域名是localhost,如果测试两台机器之间的连通性需要替换证书或者修改代码
可以使用openssl x509 -in cert.pem -text -noout查看证书内容:
服务端
server端修改example/main.go
err = server.ListenAndServeTLS("/home/test/httpd.crt", "/home/test/httpd.key")注意:windows路径中不能使用\要使用\
或者把证书和私钥放到testdata下面,并替换掉原来的证书。
客户端
客户端主要是增加信任自己的根证书,代码逻辑是先加载系统的ca pool,然后添加testdata中的证书,所以把自制根证书加载在系统中或者替换到internal\testdata下都可以(名为ca.pem,crt转pem使用openssl命令)
linux把信任CA根证书加载到系统中:
Ubuntu
cp cacert.crt /usr/local/share/ca-certificates(颁发机构证书) update-ca-certificatescentOS
cp cacert.crt /etc/ssl/certs/ update-ca-trust运行
go run /home/mylib/src/github.com/lucas-clemente/quic-go/example/main.go -bind example.com:4443 -www /home/test/ (index.html或者test001.dat路径)
go run /home/mylib/src/github.com/lucas-clemente/quic-go/example/client/main.go https://example.com:4443/test001.dat (要求服务端返回test001中数据)
go run /home/mylib/src/github.com/lucas-clemente/quic-go/example/client/main.go https://example.com:4443 (服务端默认返回index.html)
或者:
./server.exe -v true -qlog true ./client.exe -v true -qlog true https://localhost:6121/demo/tile https://localhost:6121/demo/tiles注意:windows路径中不要使用\,一律换成\,比如 D:\test
###运行中的问题
服务端可打开 -v true查看具体信息
1、windows客户端提示crypto/x509: system root pool is not available on Windows
原因:x509.SystemCertPool()返回错误,具体原因为止
解决办法:修改main.go中先获取本机cert pool再添加测试ca根证书的逻辑,为先new一个pool,再添加ca根证书
pool, err := x509.SystemCertPool()
if err != nil {
log.Fatal(err)
}
testdata.AddRootCA(pool)
修改为:
pool := testdata.GetRootCA()
2、服务端提示 CRYPTO_ERROR: ALPN negotiation failed. Client offered: [“h3-27”]
客户端提示client Peer closed session with error: CRYPTO_ERROR: tls: no application protocol
原因:tls版本不一致
解决办法:两端更新github.com/marten-seemann/qtls到最新版本后解决。
3、http提示错误
Got response for https://www.example.com:4443: &http.Response{Status:"404 Not Found", StatusCode:404, Proto:"HTTP/3", ProtoMajor:3, ProtoMinor:0, Header:http.Header{"Content-Type":[]string{"text/plain; charset=utf-8"}, "X-Content-Type-Options":[]string{"nosniff"}}, Body:(*http3.body)(0xc000086240), ContentLength:0, TransferEncoding:[]string(nil), Close:false, Uncompressed:false, Trailer:http.Header(nil), Request:(*http.Request)(nil), TLS:(*tls.ConnectionState)(nil)} Request Body: 404 page not found client Closing session with error: Application error 0x100原因一般是http文件(客户端请求的文件或者默认的index.html)找不到,可能是路径问题或者文件不存在。
