针对iOS端网络调试与学术资源访问需求,详解Shadowrocket HTTPS解密功能的完整配置流程,涵盖证书生成、系统信任、规则编写及TUN模式协同工作要点,解决抓包失败与连接异常问题。
解密原理与适用场景
小火箭(Shadowrocket)的HTTPS解密功能基于MITM(中间人代理)技术,通过生成根证书替换目标站点证书,实现加密流量分析,该功能适用于API调试、广告过滤规则编写及国际网络加速节点的延迟测试,但需注意银行类App的证书固定(SSL Pinning)机制可能触发安全警告。
配置步骤详解
证书生成与系统信任
进入小火箭「配置」→「证书」→「生成新的CA证书」,安装描述文件后,需前往iOS「设置」→「通用」→「关于本机」→「证书信任设置」手动开启完全信任,未开启信任会导致所有HTTPS站点提示证书错误。
启用解密功能
在配置文件编辑界面添加:
mitm: enabled: true ca-passphrase: your_password ca-p12: your_base64_encoded_certificate
代理组类型选择
根据使用场景配置三种核心代理组:
- Select(手动选择):适用于需要固定节点的跨境办公场景,避免IP频繁变动触发风控
- URL-Test(自动测速):按延迟自动选择最快节点,适合4K视频流媒体播放
- Fallback(故障转移):主节点失效时自动切换备用,保障学术资源访问连续性
配置示例:
proxy-groups:
- name: "自动选择"
type: url-test
url: http://www.gstatic.com/generate_204
interval: 300
proxies:
- 节点A
- 节点B
TUN模式与系统代理的取舍
系统代理仅接管HTTP/HTTPS流量,配置简单但无法处理UDP流量(如游戏、部分视频通话)。TUN模式通过虚拟网卡接管所有流量,支持UDP转发,但会增加约5-10%的CPU占用,建议抓包调试时开启TUN模式,日常浏览使用系统代理。
分流规则编写规范
解密规则需与分流规则协同工作,优先级从高到低:
- DOMAIN:精确匹配特定域名,如
DOMAIN,api.example.com - DOMAIN-SUFFIX:匹配域名后缀,如
DOMAIN-SUFFIX,google.com涵盖所有子域名 - IP-CIDR:基于IP段分流,适用于CDN节点识别,如
IP-CIDR,142.250.0.0/16 - GEOIP:按地理位置分流,常用于国内直连规则
GEOIP,CN,DIRECT
注意:解密规则(MITM)需与分流规则分开配置,避免循环代理。
常见问题排查
现象:开启解密后特定App无法联网,提示证书不受信任
原因:该App启用SSL Pinning,校验服务器证书与内置公钥是否匹配
解决方法:在规则中添加 DOMAIN-SUFFIX,app-domain.com,DIRECT 绕过解密,或关闭该App的解密开关
现象:TUN模式下游戏延迟异常升高
原因:虚拟网卡处理UDP包增加转发层级
解决方法:切换至系统代理模式,或配置 PROCESS-NAME,game.exe,DIRECT 直连规则
现象:证书安装后仍显示解密失败
原因:iOS 15+版本需双重信任(描述文件安装+证书信任设置)
解决方法:检查「证书信任设置」中是否开启完全信任,并重启小火箭后台进程
节点订阅配置建议
完成小火箭HTTPS解密配置教程的基础设置后,建议搭配支持YAML格式的高级订阅链接,优质订阅应具备url-test自动测速接口与fallback故障转移组,确保在开启解密进行流量分析时,节点切换不影响连接稳定性,选择提供Clash格式原生支持的订阅服务,可避免手动转换配置文件的格式错误。
通过合理配置证书信任、代理组策略及分流规则,小火箭的HTTPS解密功能可成为跨境办公与网络调试的实用工具,在保障数据可观测性的同时维持连接效率。
