Shadowrocket(小火箭)HTTPS解密(MITM)配置教程
⚠️ 重要提示:HTTPS解密即中间人攻击(MITM)技术,仅应用于调试自己的应用、安全测试或明确知情的情况下。切勿用于窃取他人隐私或非法用途,且会暴露敏感信息给代理工具,请谨慎使用。 HTTPS解密通过生成自签名CA证书,让系统信任该证书,从而代理服务器可以解密、查看、修改TLS加密流量(如HTTPS请求内容、响应体)。
配置步骤
生成并安装CA证书
在Shadowrocket中:
- 点击底部「配置」→ 选择当前使用的配置文件(默认
default.conf) - 点击「编辑配置」→ 找到「HTTPS解密」(或MITM)
- 点击「生成新的CA证书」
- 点击「安装根证书」,系统会跳转到Safari下载描述文件
在iOS系统设置中:
- 打开「设置」→ 顶部会出现「已下载描述文件」(或进入「通用」→「VPN与设备管理」)
- 点击「Shadowrocket...」→「安装」→ 输入锁屏密码
- 关键步骤:进入「设置」→「通用」→「关于本机」→「证书信任设置」
- 找到「Shadowrocket CA...」,打开开关(完全信任)
配置解密规则
返回Shadowrocket,在HTTPS解密设置中:
方式A:界面配置(推荐)
- 开启「启用MITM」开关
- 在「主机名」中添加需要解密的域名,
*.example.com api.wechat.com
方式B:文本配置(高级) 编辑配置文件,添加MITM段落:
[MITM] enable = true ca-passphrase = Shadowrocket ca-p12 = 证书内容(Base64) hostname = *.example.com, api.wechat.com, %APPEND% *.tiktokv.com
配置规则(可选)
如需对特定请求进行重写(Rewrite)或脚本处理,需确保:
- 规则类型为
DOMAIN或DOMAIN-SUFFIX - 开启解密后,才能看到URL级别的细节
验证是否成功
- 开启代理,访问已配置解密的HTTPS网站(如
https://api.example.com) - 在Shadowrocket「工具」→「日志」中查看:
- 如果能看到请求体(Request Body)和响应体(Response Body),说明解密成功
- 或使用「HTTP抓包」功能实时查看流量
常见问题
| 问题 | 解决方案 |
|---|---|
| 证书安装后仍显示加密 | 检查「关于本机」→「证书信任设置」中是否开启完全信任 |
| 部分App无法联网 | 该App使用SSL Pinning(证书固定),需配合插件(如Script)绕过,或无法解密 |
| iOS 16+ 无法安装 | 确保在「VPN与设备管理」中安装,且描述文件未过期 |
| 解密特定App失败 | 部分金融类App(银行、支付宝)有防代理机制,强行解密可能导致封号或无法使用 |
安全与卸载
停止使用解密:
- Shadowrocket中关闭「HTTPS解密」开关
- 系统设置 → 通用 → 关于本机 → 证书信任设置 → 关闭Shadowrocket CA
- 设置 → 通用 → VPN与设备管理 → 删除Shadowrocket描述文件
风险提示:
- 解密后的流量可被导出,不要在公共设备或他人设备上配置
- 部分应用检测到中间人证书会拒绝服务或封号
- iOS系统更新后可能需要重新信任证书
适用版本:Shadowrocket 2.2.0+ / iOS 14+
替代方案:如需更专业的抓包,建议使用Stream(免费)或Thor(付费)等专用抓包工具,操作更简便。
