****

作为网络安全从业者，我经常听到这样的疑问：“为什么用Charles抓包HTTPS应用时，看到的全是乱码？” 这就像你想拆开一个快递盒（HTTPS流量），却发现盒子上了锁（加密）。而Charles的证书就是打开这把锁的“钥匙”。今天就用大白话+实战案例，带你彻底搞懂HTTPS抓包和证书导出的门道。

一、为什么抓HTTPS需要证书？

想象你和朋友用密语聊天（HTTPS加密），第三方（比如Charles）想监听内容，必须：

1. 假装成朋友：Charles生成一个“假身份”（伪造证书）

2. 让你信任这个假朋友：你必须手动安装Charles的证书到设备信任列表

? 真实案例：某金融APP测试时，开发同学发现抓不到登录接口数据，就是因为没装Charles证书，导致手机不信任中间人（Charles）。

二、导出Charles证书的3种场景（附操作截图）

▍场景1：电脑端抓包（Windows/Mac）

1. 打开Charles → Help → SSL Proxying → Save Charles Root Certificate

2. 选择保存为`.pem`或`.cer`格式（就像选择钥匙的材质）

3. 关键步骤：双击安装证书 → 选择“受信任的根证书颁发机构”

?? 避坑指南：如果浏览器仍报不安全，可能是证书没装对位置（比如误选“个人”而非“受信任”）。

▍场景2：手机端抓包（Android/iOS）

- Android特有操作：

访问 `chls.pro/ssl` 下载证书 → 设置里手动安装 → 一定要改证书用途为VPN和APP！ （否则微信等APP可能仍不认）

- iOS的坑：

安装后还需到【设置→通用→关于本机→证书信任设置】中手动启用信任。

?? 案例分享：某电商APP在Android 12上无法抓包，最终发现是没给证书开“VPN和APP”权限。

▍场景3：给第三方工具使用（如Postman）

有时需要把Charles证书导入到其他工具：

1. 导出时选择`.p12`格式（带私钥的钥匙盒）

2. 在Postman的Settings → Certificates中添加

三、为什么导出后还是抓不到包？——5大常见问题排查

1. 域名没配SSL代理

Charles中右键域名 → Enable SSL Proxying （相当于告诉Charles：“这个地址要拆包”）

2. 客户端校验证书有效期/指纹

高级APP会检查证书是否过期或被篡改。解决方案：更新Charles到最新版生成新证书。

3. 系统时间错误导致证书失效

电脑/手机时间不对 → 系统认为“这把钥匙过期了”。同步网络时间即可解决。

4. HTTP/2或QUIC协议干扰

新协议可能绕过代理，在Charles设置中关闭HTTP/2试试。

5. APP开启Certificate Pinning（证书钉扎）

比如银行APP会硬编码只认自家证书。终极方案：逆向修改APP或换Frida等工具。

四、安全警示：别在非测试环境乱装证书！

曾有一个悲剧案例：某员工把公司WiFi的监控CA证书装到了自己手机上，结果所有流量都被劫持… ?记住两条铁律：

1. 测试结束后立刻删除临时安装的证书；

2. 不要在任何生产设备上安装非官方CA！

+SEO关键词布局

掌握Charles HTTPS抓包的核心就是理解“信任链”，本文提到的【charles https】【导出证书】等操作不仅能用于调试接口，更是学习TLS/SSL协议的绝佳实践。遇到问题欢迎评论区交流——你遇到过哪些奇葩的抓包翻车现场？

TAG:charles https 导出证书,charles ssl证书,charles导入证书步骤,charles下载证书,下载charles证书的网址进不去