本文详解小火箭HTTPS解密教程的核心配置流程,涵盖证书安装、解密开关设置及全局路由模式选择,帮助开发者实现精准的流量分析与调试,满足跨境办公需求中的网络诊断场景。
功能定位与适用场景
小火箭(Shadowrocket)的HTTPS解密功能主要用于国际网络加速环境下的流量分析,开启后,可查看加密HTTPS请求的明文内容,适用于API调试、广告过滤规则编写、学术资源访问时的请求追踪等场景,该功能通过中间人代理(MITM)原理实现,需在客户端安装自签名根证书。
证书安装与系统信任
首次使用需生成并安装CA证书:
设置 → 证书 → 生成新的CA证书 → 安装证书安装完成后,进入iOS系统设置:
通用 → 关于本机 → 证书信任设置 → 开启Shadowrocket CA完全信任未开启完全信任会导致浏览器显示"不安全"警告,无法建立TLS握手。
启用HTTPS解密并配置域名
返回小火箭主界面,进入配置编辑页面:
[MITM]
enable = true
ca-passphrase = 你的证书密码
ca-p12 = 证书数据
[MITM.Hostname]
*.example.com
*.api.domain.com域名支持通配符和具体域名,建议仅添加需要调试的特定域名,避免全局解密带来的性能开销,配置完成后点击右上角保存,节点列表页会显示"解密"标识。
全局路由模式选择策略
小火箭HTTPS解密教程中,全局路由设置直接影响解密流量的走向:
配置模式:根据规则文件自动分流,适合日常跨境办公需求,仅对匹配规则的域名执行解密。
代理模式:全部流量强制走代理节点,适合需要完整抓包分析特定App的场景,但会增加节点负载。
直连模式:绕过代理直接连接,适用于本地网络调试,此时解密功能仅作用于直连流量。
场景模式:根据WiFi/蜂窝网络自动切换策略,建议在办公室WiFi下启用解密,移动网络下关闭以节省电量。
抓包验证与性能优化
配置完成后,使用Safari访问已添加的HTTPS站点,或打开目标App,进入小火箭的最近请求页面,应能看到解密后的URL参数和响应体。
若出现卡顿,检查解密域名列表是否过于宽泛,建议采用白名单机制:
[MITM.Hostname]
# 仅解密必要域名
*.googleapis.com
*.githubusercontent.comFAQ:常见故障排查
现象:证书已安装,但浏览器仍提示证书无效
原因:iOS 13+系统要求必须在"证书信任设置"中手动开启,仅安装到钥匙串不足够
解决方法:设置 → 通用 → 关于本机 → 证书信任设置 → 找到Shadowrocket CA并开启
现象:开启解密后特定App无法联网
原因:该App启用SSL Pinning(证书固定)技术,拒绝非内置证书签名的连接
解决方法:将该App的域名从解密列表中排除,或切换至直连模式绕过代理
现象:解密后的中文内容显示乱码
原因:响应体采用Gzip压缩或二进制编码
解决方法:在小火箭请求详情页点击"解码"按钮,或导出到Charles等桌面端工具二次分析
节点质量对解密稳定性的影响
HTTPS解密会增加约15-20%的CPU占用,若节点延迟过高或丢包严重,可能导致TLS握手超时,建议选择支持TLS 1.3的中转线路或高端专线,确保学术资源访问时的抓包连续性,对于长期开发调试需求,优先考虑提供稳定订阅服务的供应商,避免免费节点频繁失效导致证书链验证中断。
完成上述小火箭HTTPS解密教程配置后,建议定期备份证书文件(ca-p12),更换设备时可快速恢复调试环境,无需重新配置域名规则。
