Shadowrocket HTTPS解密功能可分析加密流量,解决跨境办公中的网络调试需求,本文详解证书生成、安装、信任设置及全局路由模式选择,助你完成iOS端抓包环境配置。
为什么需要HTTPS解密
在跨境办公或学术资源访问场景中,部分应用采用SSL pinning技术阻止常规代理分析,小火箭HTTPS解密功能通过中间人代理(MITM)捕获加密流量,帮助开发者调试API接口,或排查国际网络加速中的连接异常。
配置前准备
- 系统要求:iOS 14.0+,Shadowrocket 2.2.0+
- 权限确认:需开启"本地网络"与"VPN"权限
- 节点准备:建议选用支持TLS 1.3的中转节点,避免解密过程中出现证书校验失败
证书生成与安装
步骤1:生成CA证书
进入Shadowrocket设置 → 证书 → 生成新的CA证书,系统会自动创建Shadowrocket CA根证书。
步骤2:安装描述文件
点击"安装证书",浏览器跳转至0.0.1:xxxx本地地址,按提示下载描述文件,进入iOS设置 → 通用 → VPN与设备管理 → 安装Shadowrocket描述文件。
步骤3:信任根证书 关键步骤:设置 → 通用 → 关于本机 → 证书信任设置 → 开启"Shadowrocket CA"完全信任,未开启此选项将导致HTTPS解密失效,应用提示"证书不受信任"。
解密规则配置
步骤4:启用MITM功能 配置 → 配置文件编辑 → 添加模块:
[MITM] enable = true hostname = *.example.com, *.api.com
hostname支持通配符,建议仅添加需调试的域名,避免全量解密影响性能。
步骤5:配置解密域名 在"解密"选项卡中,输入目标域名,支持正则表达式匹配,如:
^(.*)\.googleapis\.com$全局路由模式选择
小火箭提供四种路由模式,HTTPS解密场景下需特别注意:
| 模式 | 工作原理 | 适用场景 |
|---|---|---|
| 配置 | 根据规则分流 | 日常使用,仅解密指定域名 |
| 代理 | 全部流量走节点 | 全量抓包分析,但耗电高 |
| 直连 | 绕过代理 | 调试本地服务,不经过节点 |
| 场景 | 根据WiFi/蜂窝自动切换 | 办公室用直连,外出用配置 |
推荐设置:日常使用选择"配置"模式,在规则中指定MITM标签;深度调试时临时切换"代理"模式。
常见问题排查
现象:开启解密后应用无法联网,提示"SSL握手失败" 原因:目标应用启用SSL pinning,或证书未正确信任。 解决方法:检查证书信任设置;对 pinning 应用需配合其他工具绕过校验,或仅解密未加固的域名。
现象:部分网站显示"您的连接不是私密连接" 原因:证书链不完整,或系统时间不同步。 解决方法:重新生成CA证书;校准iOS系统时间;检查节点是否支持SNI伪装。
现象:解密成功但内容乱码 原因:应用使用protobuf或自定义加密协议,非标准HTTP/HTTPS。 解决方法:在Shadowrocket日志中查看原始TCP流,确认是否为明文HTTP。
性能优化建议
大规模HTTPS解密会显著增加CPU负载,建议:
- 限制解密域名数量,不超过20个
- 选用延迟低于150ms的专线节点,避免TLS握手超时
- 定期清理Shadowrocket日志(设置 → 高级 → 清除历史记录)
对于需要长期稳定国际网络加速的用户,建议选择支持IEPL专线的服务商,配合HTTPS解密功能可实现更精细的流量分析。
完成上述配置后,即可在"工具" → "日志"中查看解密后的请求详情,合理运用此功能,能有效优化跨境办公网络体验。
