本文详解Shadowrocket小火箭HTTPS解密(MITM)配置流程,涵盖证书生成、系统信任、代理组策略设置及分流规则编写,解决配置后无法上网、证书报错等常见问题,适用于国际网络加速与流量分析场景。
证书配置基础步骤
小火箭HTTPS解密配置教程的核心在于CA证书的正确部署,Shadowrocket使用MITM(中间人攻击)技术解密TLS流量,需完成三步:
- 生成证书:设置 → 证书 → 生成新的CA证书,系统会创建
.p12格式的私钥文件 - 安装证书:通过AirDrop或文件共享发送至iOS设备,在设置 → 通用 → VPN与设备管理中安装描述文件
- 信任证书:设置 → 通用 → 关于本机 → 证书信任设置 → 开启对Shadowrocket CA的完全信任
未完成信任操作会导致所有HTTPS网站提示"证书无效",这是配置失败的首要原因。
代理组类型与自动切换逻辑
在配置文件中,代理组(Proxy Groups)决定流量调度策略,小火箭HTTPS解密配置教程需明确三种核心模式:
- select(手动选择):用户主动切换节点,适用于需要固定IP的跨境办公场景
- url-test(自动测速):按延迟自动选择最优节点,参数设置
interval: 300表示每5分钟测试一次 - fallback(故障转移):主节点失效时自动切换备用线路,适合学术资源访问的高稳定性需求
配置示例:
Proxy Groups:
- name: "自动选择"
type: url-test
proxies:
- 节点A
- 节点B
url: "http://www.gstatic.com/generate_204"
interval: 300
TUN模式与系统代理的区别
开启HTTPS解密后,必须理解流量接管机制的差异:
TUN模式(虚拟网卡):接管设备所有流量(含UDP、ICMP、游戏数据包),强制所有应用走代理,适用于需要全局网络加速的场景,配置时需开启"启用TUN"并设置堆栈为gvisor或system。
系统代理:仅代理HTTP/HTTPS流量,依赖应用自身是否遵循系统代理设置,部分App会绕过系统代理直接连接,导致解密失效。
对于需要解密HTTPS流量的用户,建议同时开启TUN模式和HTTPS解密(MITM),确保无流量逃逸。
分流规则优先级与写法
小火箭HTTPS解密配置教程必须掌握规则匹配逻辑,规则按从上至下顺序匹配,命中即停止:
Rule: - DOMAIN,ads.example.com,REJECT - DOMAIN-SUFFIX,google.com,Proxy - IP-CIDR,192.168.0.0/16,DIRECT - GEOIP,CN,DIRECT - MATCH,Proxy
- DOMAIN:精确匹配单域名,优先级最高
- DOMAIN-SUFFIX:匹配后缀,如
google.com涵盖www.google.com和mail.google.com - IP-CIDR:基于IP段分流,适用于CDN资源直连
- GEOIP:根据地理位置数据库分流,国内流量直连可提升访问速度
规则编写遵循"精确优先,宽泛置后"原则,避免逻辑冲突。
故障排查FAQ
现象:开启HTTPS解密后所有App无法联网,提示"无法建立安全连接"
原因:证书未在系统层面完全信任,或证书已过期
解决:重新生成证书并安装,检查设置 → 通用 → 关于本机 → 证书信任设置中的开关状态
现象:部分银行App闪退或拒绝运行
原因:银行App启用SSL Pinning(证书固定),检测到中间人攻击
解决:在配置文件中添加DOMAIN-SUFFIX,bank.com,DIRECT跳过解密,或临时关闭MITM
现象:解密开启后网速明显下降
原因:TUN模式与HTTPS解密双重处理增加CPU负载,或节点带宽不足
解决:切换至url-test自动选择低延迟节点,或考虑升级至支持TLS 1.3的高性能线路
对于需要稳定国际网络加速的用户,建议选择支持Clash订阅格式的服务商,通过SubConverter转换订阅链接后导入小火箭,配合上述HTTPS解密配置实现精细化流量管理。
