Shadowrocket(小火箭)HTTPS解密配置教程
HTTPS解密(MITM)可以让小火箭解密TLS加密流量,用于广告拦截、请求分析或脚本修改,以下是详细配置步骤:
生成并安装CA证书
生成证书
- 打开 Shadowrocket → 底部「设置」→「证书」
- 点击「生成新的 CA 证书」(若已存在可跳过)
- 系统会自动创建根证书
安装描述文件
- 在证书页面点击「安装证书」
- 自动跳转到浏览器下载描述文件
- 进入 iOS 设置 → 顶部会出现「已下载描述文件」→ 点击进入安装
- 输入锁屏密码确认安装
信任证书(关键步骤)
iOS 10.3+ 必须手动信任:
- 设置 → 通用 → 关于本机 → 证书信任设置
- 找到「Shadowrocket CA」或你生成的证书名称
- 打开开关(会弹出安全警告,确认即可)
开启HTTPS解密
方法A:全局解密(不推荐长期使用)
- 设置 →「HTTPS 解密」→ 开启开关
- 在「解密域名」中添加:
⚠️ 解密所有流量会消耗更多电量,且存在隐私风险
方法B:按域名解密(推荐)
在「解密域名」中添加具体域名,
*.google.com
*.facebook.com
*.twitter.com
*.bilibili.com
api.example.com支持通配符 和具体域名。
验证是否成功
- 开启代理并访问
https://www.google.com - 在 Shadowrocket「工具」→「日志」中查看
- 如果能看到明文请求内容(URL参数、Header、Body),说明解密成功
- 浏览器访问证书通常显示为「Shadowrocket CA」颁发
常见问题解决
| 问题 | 解决方案 |
|---|---|
| 无法安装证书 | 确保iOS已设置锁屏密码;检查是否已安装过旧证书,需先删除 |
| 安装后仍显示加密 | 检查「证书信任设置」中是否已开启信任开关 |
| 某些App闪退/无法联网 | 该App使用了SSL Pinning(证书固定),需将其加入「跳过代理」或关闭解密 |
| 银行/支付App异常 | 立即停止解密,金融类App严禁MITM,可能触发风控 |
安全警告 ⚠️
- 隐私风险:解密后所有HTTPS流量对小火箭可见,包括密码、Cookie等敏感信息
- 证书保管:生成的CA证书私钥存储在本地,切勿导出或分享给他人
- 及时关闭:分析完成后建议关闭HTTPS解密,或仅对特定域名开启
- iOS更新:系统升级后可能需要重新信任证书
进阶:配合脚本使用
开启解密后,可在「脚本」模块中修改请求/响应:
- 修改API返回数据(如去除广告字段)
- 重写请求头(如User-Agent)
- 重定向特定请求
示例脚本配置(需解密对应域名才能生效):
http-response ^https?://api\.example\.com/v1/user requires-body=1,script-path=modify.js提示:iOS 15+ 对证书要求更严格,确保Shadowrocket更新到最新版本。
