小火箭HTTPS解密教程，iOS抓包配置与证书信任全流程

本文详解Shadowrocket HTTPS解密功能的配置方法，涵盖证书生成、安装、信任及抓包规则设置，帮助开发者完成iOS端网络调试与数据分析需求。

小火箭HTTPS解密教程适用于需要分析HTTPS流量的开发者,Shadowrocket作为iOS平台主流网络工具，其解密功能可捕获TLS握手数据，用于调试API接口或排查网络问题。

前置条件

开启解密前需准备：

• iOS 14+ 系统设备
• 已安装Shadowrocket 2.2.0+
• 具备基础网络调试知识

配置流程

1. 生成CA证书 进入Shadowrocket设置 → 证书 → 生成新的CA证书，系统会自动创建1024位RSA密钥对，有效期默认365天。

   证书名称：Shadowrocket CA
   密钥算法：RSA 2048
   有效期：365天

2. 安装描述文件 点击"安装证书"，系统跳转Safari下载配置描述文件，进入设置 → 通用 → VPN与设备管理，找到Shadowrocket CA并安装。

3. 信任根证书 关键步骤：设置 → 通用 → 关于本机 → 证书信任设置，开启对Shadowrocket CA的完全信任，未开启此选项会导致解密失效，流量仍显示为加密状态。

4. 启用解密功能 返回Shadowrocket主界面，开启HTTPS解密开关，在"解密主机"中添加目标域名，支持通配符格式：

   *.api.example.com
   specific-domain.com

5. 验证抓包 使用Safari访问已配置域名，在Shadowrocket日志中应显示明文HTTP请求头，若显示"Tunnel"字样，说明证书未正确信任。

全局路由模式解析

小火箭HTTPS解密教程需配合正确的路由模式使用：

配置模式 根据规则列表自动分流，仅对匹配规则的流量应用解密，适合日常跨境办公需求，避免对国内银行类App误抓包。

代理模式 所有流量强制走代理节点并解密，适用于全流量分析场景，但会增加设备功耗。

直连模式 绕过代理直接连接，解密功能仅对直连流量生效，用于测试本地网络环境。

场景模式 根据Wi-Fi/蜂窝网络自动切换规则，建议设置：家庭Wi-Fi使用解密+代理，移动数据使用直连节省电量。

常见问题排查

现象：开启解密后App无法联网 原因：目标App启用SSL Pinning证书锁定，检测到中间人攻击。 解决：在"解密主机"中排除该域名，或关闭该App的解密功能。

现象：证书安装后仍显示"不受信任" 原因：iOS 15+系统要求证书包含特定扩展属性。 解决：删除旧证书，在Shadowrocket中重新生成并确保安装流程完整。

现象：抓包内容显示乱码 原因：启用了QUIC协议或TLS 1.3加密。 解决：在节点设置中禁用QUIC，强制使用TCP 443端口。

对于需要稳定国际网络加速的用户,建议选择支持TLS 1.3解析的中转节点，优质节点服务商通常提供专门的抓包优化线路，延迟控制在150ms以内，满足学术资源访问时的实时调试需求。

完成小火箭HTTPS解密教程配置后,建议定期在设置 → 证书中检查有效期，避免证书过期导致抓包中断，开发者可结合Charles Proxy进行交叉验证，确保数据分析准确性。