Shadowrocket(小火箭)HTTPS解密配置教程
⚠️ 安全警告:HTTPS解密会生成根证书并信任它,这允许代理工具查看加密流量,请确保只使用官方App Store下载的正版Shadowrocket,不要在公共网络或不可信环境下开启此功能,避免敏感信息泄露。
- 设备要求:iOS 10.3 或更高版本(需手动信任证书)
- 应用版本:确保Shadowrocket为最新版
- 网络环境:建议仅在个人可控网络下使用
配置步骤
步骤1:生成并安装证书
- 打开Shadowrocket → 点击底部"配置"
- 选择当前使用的配置(或点击右上角"+"新建)→ 点击"编辑"
- 找到"HTTPS解密"(HTTPS Decryption)选项
- 点击"生成新的CA证书"(Generate New CA Certificate)
- 点击"安装证书"(Install Certificate),系统会跳转到Safari下载描述文件
步骤2:系统设置信任证书(关键步骤)
- 打开iOS"设置" → "通用" → "VPN与设备管理"(或"描述文件")
- 找到Shadowrocket的证书(通常显示为Shadowrocket CA)→ 点击"安装"
- 返回"通用" → "关于本机" → 滑到底部"证书信任设置"
- 开启Shadowrocket CA的"完全信任"开关(iOS 10.3+必须操作)
步骤3:开启解密功能
- 回到Shadowrocket的HTTPS解密设置页面
- 开启"启用HTTPS解密"开关
- (可选)配置"解密主机列表":
- 留空:解密所有HTTPS流量(不推荐,影响性能)
- 指定域名:如
*.google.com, *.youtube.com(推荐,仅解密特定站点)
验证是否成功
- 开启代理后,访问
https://www.google.com - 在Shadowrocket的"工具" → "日志"中查看:
- 成功:应显示明文URL(如
https://www.google.com/...) - 失败:显示为
TCP隧道或CONNECT方法
- 成功:应显示明文URL(如
常见问题解决
| 问题 | 解决方案 |
|---|---|
| 证书安装后无法上网 | 检查"关于本机"→"证书信任设置"中是否开启"完全信任" |
| 银行App无法连接 | 将银行域名加入"不解密列表",或临时关闭HTTPS解密(金融App通常有SSL Pinning防护) |
| 部分网站提示不安全 | 证书可能过期,重新生成并安装新证书 |
| iOS 15+无法安装描述文件 | 设置→通用→VPN与设备管理→查看是否有待安装的描述文件 |
安全建议
- 用完即关:不需要抓包分析时,建议关闭HTTPS解密功能
- 定期清理:在"配置"→"HTTPS解密"中可以"删除证书",清理系统设置中的信任证书
- 敏感操作:进行网银、支付等操作时,务必关闭解密或暂停代理
- 证书备份:如需长期使用,可在生成证书后点击"导出证书"备份,避免重装应用后重新配置
进阶用法(MitM规则)
在Shadowrocket的"规则"页面,可以配合HTTPS解密实现:
- 广告过滤:解密后匹配广告域名并阻断
- 重写:修改特定API响应(需配合脚本功能)
- 调试:查看App的API请求详情(开发调试用途)
示例配置(仅解密特定域名):
解密主机列表:*.google.com, *.github.com, api.example.com
不解密主机列表:*.apple.com, *alipay.com, *wechat.com📌 提示:iOS系统限制,同一时间只能信任一个MitM(中间人)证书,如果之前安装过Charles、Stream等抓包工具证书,可能需要先移除旧证书。
