****

你是否遇到过手机App或网页数据“抓包”失败的情况？比如用Charles抓取微信的聊天记录，却发现数据全是乱码？这很可能是因为你没正确安装HTTPS证书。本文将用最通俗的语言，带你一步步搞定Charles的HTTPS证书安装，并解释背后的安全原理。

一、为什么需要HTTPS证书？

1. HTTPS与HTTP的区别

- HTTP：像寄明信片，内容谁都能看到（数据明文传输）。

- HTTPS：像寄加密信件，只有收件人有钥匙（SSL/TLS加密）。

2. Charles的作用

Charles是“中间人”（MITM），需要假装成目标服务器和你通信。但HTTPS会验证服务器身份，如果Charles没有合法证书，你的设备会拒绝连接（比如iOS弹窗提示“不受信任的证书”）。

例子：

你访问支付宝时，支付宝的服务器会出示一个由“DigiCert”颁发的证书。如果你直接用Charles抓包，Charles默认用的是自己的假证书（`Charles Proxy CA`），你的手机不认这个“野鸡证书”，就会报错。

二、安装Charles HTTPS证书全流程

步骤1：电脑端安装根证书

1. 打开Charles → `Help` → `SSL Proxying` → `Install Charles Root Certificate`。

2. 在钥匙串（Mac）或证书管理器（Windows）中找到该证书，手动设置为始终信任。

为什么？

这样你的电脑会认为Charles颁发的所有子证书都是合法的（相当于给Charles发了“造假许可证”）。

步骤2：手机端安装证书（以iOS为例）

1. 确保手机和电脑在同一WiFi，并在Charles中配置代理（`Proxy` → `Proxy Settings`）。

2. 手机浏览器访问 `chls.pro/ssl` 下载证书。

3. iOS用户需进入 `设置` → `通用` → `VPN与设备管理` ，手动信任证书。

常见坑点：

- Android 7+和iOS 13+对用户安装的证书限制更严，可能需要root或越狱。

- 企业App可能额外启用“证书固定”（Certificate Pinning），即使装了Charles证书也会失败（如银行类App）。

三、高级技巧与安全风险

1. 解决“Certificate Pinning”

某些App（如Twitter）会硬编码只信任特定CA的证书。破解方法：

- Xposed模块+JustTrustMe ：Hook掉App的验证逻辑（需root）。

- Frida脚本动态注入 ：适用于逆向分析人员。

2. Charles的安全隐患

- 风险1 ：如果黑客控制了你的电脑，他可以用Charles窃取你的所有HTTPS流量（比如盗取Cookie）。

- 防御建议 ：用完Charles后及时关闭代理，删除手机端的临时证书。

四、从原理看抓包

当你访问 `https://www.baidu.com` 时：

1. Baidu服务器返回一个由GlobalSign颁发的真证书。

2. Charles拦截请求，用自己的假证书替换掉Baidu的真证

TAG:charles安装https证书,charles安装证书无法上网,charles怎么安装配置,charles下载证书