小火箭HTTPS解密教程，全局路由模式深度解析

导读：

1. 证书配置与模块安装
2. 全局路由四种模式详解
3. 节点选择与性能优化
4. 常见问题排查

本文详解Shadowrocket HTTPS解密功能的完整配置流程，涵盖证书生成、模块安装及信任设置，重点剖析全局路由四种工作模式的适用场景，并针对证书失效、特定App抓包失败等高频问题提供解决方案。

小火箭HTTPS解密教程的核心在于正确配置MITM（中间人攻击）证书与理解路由规则，对于需要调试API接口或分析网络请求的开发者,开启解密功能能直观查看加密流量明文。

证书配置与模块安装

1. 生成CA证书 进入Shadowrocket设置 → 证书 → 生成新的CA证书，系统会创建shadowrocket-ca.pem文件,需通过AirDrop或文件共享导出到电脑备用。

2. 安装描述文件 iOS设置 → 通用 → VPN与设备管理 → 安装下载的证书，此步骤仅完成系统级证书存储,尚未获得信任权限。

3. 启用完全信任 设置 → 通用 → 关于本机 → 证书信任设置 → 开启Shadowrocket CA，iOS 13+系统必须手动授权,否则解密功能无法生效。

4. 配置解密模块 在Shadowrocket配置文件中添加：

   [MITM]
   enable = true
   hostname = *.example.com, api.github.com
   [Rule]
   DOMAIN-SUFFIX,example.com,REJECT

   hostname字段支持通配符,精确控制需要解密的域名范围。

全局路由四种模式详解

小火箭HTTPS解密教程中,路由模式决定流量是否经过解密处理：

配置模式 基于规则列表智能分流，仅对命中规则的流量执行解密，适合跨境办公需求，国内直连流量不经过证书校验,降低性能开销。

代理模式 所有流量强制走代理节点并解密，学术资源访问场景下，可确保特定数据库连接完全可视,但会增加电池消耗。

直连模式 绕过代理直接连接，同时关闭HTTPS解密，用于银行类App或政府服务网站,避免证书冲突导致无法访问。

场景模式 根据Wi-Fi/蜂窝网络自动切换规则，建议设置：家庭Wi-Fi使用配置模式,公共网络切换代理模式增强隐私保护。

节点选择与性能优化

国际网络加速效果直接影响解密体验，建议选择支持TLS 1.3的节点，降低握手延迟，对于需要频繁抓包调试的用户，高端专线节点比免费节点减少50%以上的证书校验时间。

常见问题排查

现象：证书已安装但App提示"不受信任" 原因：iOS 15+对证书透明度要求更严格，或目标App启用SSL Pinning。 解决：检查设置 → 通用 → 关于本机 → 证书信任设置是否开启；对Pinning应用需配合脚本注入绕过。

现象：部分网站打开显示"证书错误" 原因：Shadowrocket CA未覆盖该域名，或服务器发送HSTS头。 解决：在MITM hostname中添加具体域名，如*.google.com；清除Safari缓存后重试。

现象：开启解密后特定银行App闪退 原因：金融类App检测中间人证书并拒绝运行。 解决：为该App添加直连规则,或临时切换全局路由为直连模式。

小火箭HTTPS解密教程的最后环节是验证配置，访问https://www.httpbin.org/anything，若响应头中包含X-Shadowrocket-Decrypt: true字段，表明解密功能正常运行，建议搭配稳定的中转节点使用,避免在解密过程中因网络波动导致证书校验超时。