HandShake

HandShake란?

연결성립 3-way-handshake

sequenceDiagram
    participant Client
    participant Server

    Client->>Server: 요청 메시지 전송
    Server->>Client: 핸드쉐이크 응답 메시지 전송
    Client->>Server: 핸드쉐이크 완료 메시지 전송
    Note right of Server: 통신 시작

1. 처음 Client가 Server로 요청 메세지를 전송한다

2. Server는 Client에게 성공적으로 데이터를 받았음을 다시 Client에게 알려준다

3. Client와Server는 양측간 서로가 데이터 전송이 가능하다는걸 확인한다

연결해제 4-way-handshake

sequenceDiagram
    participant Client
    participant Server

    Client->>Server: 연결종료을 알리는 FIN플래그 전송
		Note right of Server: 종료 대기
	  Server->>Client: FIN플래그를 받고 연결종료하는걸 알겠다는 ACK 전송
		Note right of Server: 데이터 전송
	  Server->>Client: 모든 데이터를 다 보내고 연결이 종료되었다고 FIN플래그 전송
	  Client->>Server: FIN 플래그를 확인 했음을 다시 알려준다
    Note right of Server: 연결 해제

1. 클라이언트에서 연결종료을 알리는 FIN플래그 전송

2. 서버는 FIN플래그를 받고 연결종료하는걸 알겠다는 ACK를 클라이언트에게 전송
1. 이후 종료 대기상태가 되며 모든 데이터를 다 보낸다

3. 이후 모든 데이터를 다 보내고 연결이 종료되었다고 클라이언트에게 FIN플래그 전송

4. 클라이언트는 FIN 플래그를 확인 했음을 서버에게 다시 알려준다

Quic http3

Nginx로 Quic http3 개발환경 세팅 과정

• Nginx

• 패치하여 http3 모듈 빌드

• Nginx 모듈 빌드

• -with-http_ssl_module \

• -with-http_v2_module \

• -with-http_v3_module \

• -sbin-path=/usr/sbin/nginx \

• -with-http_realip_module \

• -with-cc-opt="-I../boringssl/include" \

• Nginx config

1. h3를 위한 최소한의 설정

• Boringssl

• quiche 에 있지만 따로 필요할 시에

• Quiche

• Nginx header modul

• 추가 모듈이 필요할시에

• Nginx-common

• 없어도 정상 동작 했음

• Os 패키지

• 필요한거만 install 하면 됨

• Rustup(https://rustup.rs)

• 인증된 도메인

• 기존 접속시 안전하지 않음으로 들어가지는 것처럼은 안되었고

• 설치 후 테스트

• chrome://flags/#enable-quic

• exe --enable-quic --quic-version=h3-29 --origin-to-force-quic-on=junyoung93.cf:443 https://junyoung93.cf:443

• 참고 사이트

• 패키지 아무것도 없었을 때 centos 에서 설치했던 패키지들

• nginx-quic이 제대로 동작하려면 OpenSSL이 아닌 BoringSSl로 빌드해야합니다..

• openssl ver 1.1.1 이상3 지원하는 버전

• 기관에 인증받은 도메인이 있어야 합니다.
• 테스트 했을 시에 (안전하지 않은 사이트)접근 불가

• Make를 이용한 컴파일시0버전 이상이 필요합니다.
• cmake 3 버전 이상
• 2021-07-16 기준 홈페이지 에서 따로 받았습니다.

• Rust의 패기지 관리자Cargo quiche 빌드를 위해 필요합니다.

• 아래 설치 방법은 /tmp 경로에서 진행했습니다.

• curl -O https://nginx.org/download/nginx-1.19.3.tar.gz
• 최신버전으로 다운로드 받으면 된다고 합니다.
• https://nginx.org/download/

• tar xzvf nginx-1.19.3.tar.gz

• git clone --recursive https://github.com/cloudflare/quiche
• http3 빌드를 위한 quiche 클론

• cd nginx-1.19.3

• patch -p01 < ../quiche/extras/nginx/nginx-1.16.patch
• 3에서 받은 quiche 경로에 있는 nginx-1.16.patch (현재) 로 http3 모듈 활성화 합니다.

• ./configure \

• http3 모듈 활성화 후 nginx 에 빌드 합니다.

• 빌드시에 pcre 라이브러리가 필요하다고 해서

• yum install pcre-devel 해주었습니다.

• make
• 빌드된 nginx make 컴파일
• 실패했을 경우
• Openssl 버전이1.1 인지 확인
• 지원하는 모듈중에3 이 있어야 합니다.
• yum group install ‘Development Tools’
• yum install perl-core zlib-devel –y
• wget https://www.openssl.org/source/openssl-1.1.1a.tar.gz
• tar -xvzf openssl-1.1.1a.tar.gz
• ./config --prefix=/usr/local/ssl --openssldir=/usr/local/ssl shared
• Make && make insatall
• 링크설정후 openssl version 으로 확인
• 참고 자료 : http://blog.plura.io/?p=9209
• 실패시에 cmake –-version 3버전 이상인지 확인
• 해당 사이트에서 3버전 이상 다운로드
• wget http://www.cmake.org/files/v3.19/cmake-3.19 .3.tar.gz
• tar -zxvf cmake-3.19.3.tar.gz
• cd cmake-3.19.3
• ./bootstrap --prefix=/usr/local
• Make
• Make install
• 참고자료 : https://yakolla.tistory.com/128
• Quiche 빌드를 위한 cargo Rustup(https://rustup.rs)
• curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
• source $HOME/.cargo/env
• nginx 빌드 확인
• Prefix 빌드 경로에서 nginx –v quiche 확인
• conf 파일 수정
• 필수항목
• 지시어 quic 또는 http3 사용후 reuseport
• 3
• Ssl 인증서 경로
• Header h3-29
• Nginx 설정 확인
• 포트 확인
• UDP 443 포트가 열린 것을 확인 했습니다.
• 만약 없을시에는 방화벽에서 열어주세요

• https://도메인 으로 접속 했을시에 프로토콜에 h3-29 확인

• 캐시 삭제