导读:
本文详解小火箭HTTPS解密完整配置流程,从证书安装到信任设置,深入解析全局路由四种模式差异,帮助开发者实现iOS端HTTPS流量分析,提升跨境办公与学术资源访问的网络调试效率。
为什么需要HTTPS解密
在iOS设备进行网络调试时,普通代理只能抓取HTTP明文流量,开启小火箭HTTPS解密功能后,可解密TLS加密流量,适用于API接口分析、广告过滤规则调试等场景,本教程基于Shadowrocket最新版本,适用于有跨境办公需求的技术人员。
配置前准备
确保设备已安装Shadowrocket,并具备有效的国际网络加速节点,HTTPS解密需要生成根证书,操作前建议备份当前配置。
配置路径:Shadowrocket → 配置 → 编辑配置 → HTTPS解密
小火箭HTTPS解密教程:四步完成配置
生成并安装CA证书
进入「配置」→「编辑配置」→「HTTPS解密」,点击「生成新的CA证书」,系统会自动创建证书文件,点击「安装证书」后,Safari会弹出下载提示,完成下载后,需进入iOS「设置」→「通用」→「VPN与设备管理」中查看已下载的描述文件。
信任根证书
安装完成后,必须手动开启信任开关,路径为:设置 → 通用 → 关于本机 → 证书信任设置 → 开启「Shadowrocket CA」完全信任,此步骤是解密成功的关键,遗漏会导致HTTPS流量显示为乱码或连接失败。
开启解密并配置域名
返回Shadowrocket,开启「HTTPS解密」总开关,在「解密域名」列表中添加需要分析的目标域名,支持通配符格式:
*.example.com
api.github.com
*.googleapis.com建议采用白名单模式,仅对调试目标开启解密,减少系统性能开销。
配置全局路由模式
小火箭HTTPS解密教程的核心在于路由模式选择,在「全局路由」设置中,四个选项决定流量走向:
配置模式:按规则列表分流,适合日常学术资源访问,仅对特定域名走代理,国内流量直连。
代理模式:全部流量经过节点,适用于需要全局抓包分析的场景,所有HTTPS流量均可被解密查看。
直连模式:不经过代理服务器,仅本地解密,适合分析国内App的网络请求。
场景模式:根据WiFi/蜂窝网络自动切换规则,适合移动办公环境,不同网络环境下自动选择是否解密。
常见问题排查
现象:开启解密后部分App无法联网 原因:证书 pinning 或 SSL Kill Switch 机制拦截 解决方法:将该App域名加入解密黑名单,或暂时关闭HTTPS解密功能
现象:Safari提示"无法建立安全连接" 原因:证书未正确信任或已过期 解决方法:重新生成CA证书,并确保在「关于本机」中开启完全信任
现象:抓包内容仍为TLS加密状态 原因:解密域名配置错误或节点不支持MITM 解决方法:检查域名格式是否正确,确认使用支持TLS 1.3的中转节点
节点选择建议
对于需要长期进行HTTPS解密分析的用户,建议选择支持TLS 1.3且延迟低于150ms的中转节点,普通免费节点往往存在证书兼容性问题,而高端专线能确保解密过程中连接稳定性,特别适合跨境开发调试场景。
完成小火箭HTTPS解密教程配置后,配合Surge或Thor等工具可实现更复杂的流量重写规则,定期检查证书有效期,建议每12个月重新生成一次CA证书以确保安全性。
