Shadowrocket证书安装步骤，iOS端HTTPS解密与信任配置

针对iOS端网络加速工具的HTTPS解密需求，详细解析Shadowrocket证书安装步骤，涵盖证书下载、系统信任配置及验证方法,确保国际网络加速时的完整流量分析功能正常运作。

为什么需要配置证书

Shadowrocket作为iOS平台主流的网络加速客户端，在处理HTTPS流量时需要安装根证书以实现解密功能，完成Shadowrocket证书安装步骤后，客户端可精准识别DOMAIN-SUFFIX层级的分流规则，避免国际网络加速时的DNS污染问题,同时支持广告拦截与高级脚本功能。

Shadowrocket证书安装步骤详解

生成并下载证书

进入Shadowrocket配置页面，开启"HTTPS解密"开关，客户端自动生成CA证书，点击"安装证书"按钮，系统跳转至Safari下载描述文件，此时证书以.mobileconfig格式暂存于系统设置中,尚未激活。

安装描述文件

打开iOS设置 -> 通用 -> VPN与设备管理（或描述文件），找到Shadowrocket生成的未签名描述文件，点击安装并输入锁屏密码，完成证书导入，此步骤仅将证书存入系统钥匙串,尚未启用系统级信任。

启用完全信任

这是最关键的Shadowrocket证书安装步骤：返回设置 -> 通用 -> 关于本机 -> 证书信任设置，找到Shadowrocket CA并开启"针对根证书启用完全信任"，iOS 13+系统强制要求手动确认，防止中间人攻击风险,必须完成此步才能解密TLS流量。

验证证书状态

返回Shadowrocket，查看配置页证书状态显示为"已安装"，访问测试页面查看连接日志，若证书栏显示绿色对勾，表明TLS握手成功,HTTPS流量可被正确分流与重写。

代理组类型与证书关联配置

Shadowrocket支持类似Clash的代理策略组,证书解密后方能精准执行复杂规则：

手动选择组（Select）

Proxy Group:
  name: "手动切换"
  type: select
  proxies:
    - 香港节点
    - 新加坡节点

自动测速组（URL-Test）

  - name: "自动选择"
    type: url-test
    url: http://www.gstatic.com/generate_204
    interval: 300
    tolerance: 50

故障转移组（Fallback）

  - name: "故障转移"
    type: fallback
    url: http://cp.cloudflare.com/generate_204

完成Shadowrocket证书安装步骤后，URL-Test才能准确测量HTTPS端点的真实延迟，避免TCP握手成功但TLS失败的假阳性结果，Fallback组依赖证书解密检测HTTP响应码,实现节点故障时的毫秒级切换。

TUN模式与系统代理的区别

Shadowrocket的"全局路由"设置对应Clash的TUN模式与系统代理概念：

• TUN模式（配置模式/代理模式）：通过虚拟网卡接管所有流量（含UDP/ICMP/游戏流量），需配合证书解密实现完整分流
• 系统代理（直连模式）：仅处理HTTP/HTTPS请求，不经过虚拟网卡，适合轻度浏览场景

跨境办公需求建议开启TUN模式并配置证书，确保企业级应用流量完整代理；普通学术资源访问可使用系统代理降低功耗。

分流规则优先级解析

完成Shadowrocket证书安装步骤后,配置分流规则时需注意优先级：

Rule:
  - DOMAIN,analytics.google.com,REJECT
  - DOMAIN-SUFFIX,google.com,Proxy
  - IP-CIDR,142.250.0.0/16,DIRECT
  - GEOIP,CN,DIRECT
  - MATCH,Proxy

规则自上而下匹配，证书解密使DOMAIN规则可识别TLS SNI字段，即使加密连接也能精准分流，IP-CIDR依赖证书解密后的真实IP解析,避免DNS泄露导致的分流失效。

常见问题排查

现象： 安装证书后仍提示"证书不受信任" 原因： 未在"关于本机"中启用完全信任，或使用了过期证书 解决： 重新执行Shadowrocket证书安装步骤第3步，删除旧证书后重新生成，确保证书有效期在一年内

现象： HTTPS网站打开缓慢或断流 原因： 证书链不完整或中间证书缺失，节点不支持SNI 解决： 在Shadowrocket中重置证书，确保生成2048位RSA密钥，并检查节点是否支持TLS 1.3转发

现象： 部分银行/金融App无法连接 原因： 证书固定（Certificate Pinning）机制拦截解密 解决： 对该App设置DIRECT规则绕过代理，或在Shadowrocket中关闭HTTPS解密功能，采用DOMAIN-SUFFIX规则单独处理

节点订阅配置建议

完成证书配置后，建议导入支持Clash格式的订阅链接以实现自动分流，选择节点订阅时，学术资源访问场景优选具备IPv6支持的专线节点，跨境办公需求则关注url-test自动切换的稳定性与fallback冗余备份，定期更新订阅可确保分流规则与证书有效期同步，避免配置过期导致的连接中断，高端专线通常提供完整的YAML配置模板,兼容Shadowrocket的代理组逻辑与证书解密体系。