作为网络安全工程师，我每天都要和各种抓包工具打交道。今天要给大家揭秘的是安全测试必备神器Charles的SSL证书安装全攻略——这可能是全网最通俗易懂的教程了，连我妈看完都能自己操作！（笑）

一、为什么需要Charles SSL证书？

想象一下你家的信箱：没有SSL加密的网络通信就像明信片，谁路过都能看内容；而HTTPS加密就像上了锁的私密信件。Charles要当这个"邮局管理员"，就必须有合法的"钥匙"（证书）才能查看加密内容。

典型应用场景：

1. 测试APP接口时发现全是乱码（HTTPS加密）

2. 调试微信小程序支付功能报错

3. 分析某网站API请求返回`403 Forbidden`

上周我们团队就遇到个真实案例：某金融APP显示余额异常，开发死活查不出问题。装上Charles证书后，立刻发现是某个HTTPS接口返回的数据格式错误！

二、手把手安装证书（含避坑指南）

Windows系统安装步骤

1. 下载证书：

- 打开Charles → Help → SSL Proxying → Save Charles Root Certificate

- 会得到一个`.pem`文件（这就是数字世界的"身份证"）

2. 导入证书：

```powershell

按Win+R → 输入certmgr.msc →

右键"受信任的根证书颁发机构" → 所有任务 → 导入

```

*注意：一定要选对存储位置！就像把家门钥匙放错抽屉可就麻烦大了*

3. 验证安装：

访问https://www.baidu.com ，如果能看到完整的HTTPS请求内容，说明成功了！

Mac系统特别提醒

苹果电脑需要多一步操作：

```bash

打开钥匙串访问 → 找到Charles证书 →

右键"显示简介" → 展开"信任" →

"使用此证书时"选择始终信任

```

遇到过有同事卡在这步三天三夜...就因为没展开那个小三角！

三、安卓手机配置秘籍

现在90%的APP都用HTTPS了，手机抓包必须这么玩：

1. 设置代理：

- PC和手机连同一个WiFi

- Charles → Proxy → Proxy Settings → 记住端口号（默认8888）

- 手机WiFi设置里配置手动代理，输入电脑IP和端口

2. 安装手机证书：

浏览器访问`chls.pro/ssl`下载证书

*小米/华为用户注意：要在"凭据存储"里手动开启CA证书安装权限*

3. 突破Android7+限制：

遇到APP依然不信任？你需要修改APK的networkSecurityConfig：

```xml

四、高级玩家技巧

HTTPS黑名单功能

有些网站死活抓不到包？试试这个骚操作：

Proxy → SSL Proxying Settings →

Enable SSL Proxying → Add →

Host填* (代表所有域名)，Port填443

原理就像给所有HTTPS流量开了绿色通道！

iOS设备特殊处理

iPhone用户记得做完这些：

1. 描述文件要手动信任（设置→通用→VPN与设备管理）

2. iOS13以上需要在WiFi配置里关闭私有地址功能

去年双十一我们就靠这招抓到了某电商APP的未加密优惠券接口！（当然已经上报漏洞了）

五、安全警示红灯区

?? 重要安全须知 ??

1. 测试结束立即关闭代理！曾有实习生忘关代理导致公司内网流量全被监听...

2. 不要在生产环境使用！上周某公司运维在服务器装Charles导致支付宝接口全部报错！

3. 定期删除旧证书！Charles每年会更新根证书，旧的不删会导致冲突

建议像我这样建立标准化流程：

```mermaid

graph TD

A[开始测试] --> B{是否需抓HTTPS?}

B -->|是| C[安装证书]

C --> D[执行测试]

D --> E[立即卸载证书]

B -->|否| F[直接抓包]

六、遇到问题的自救指南

常见错误解决方案：

? `SSLHandshake: Received fatal alert: certificate_unknown`

→ 检查证书是否真的导入到了受信任根目录

? `NET::ERR_CERT_AUTHORITY_INVALID`

→ Chrome浏览器输入`chrome://flags/

allow-insecure-localhost`启用选项

? APP闪退/网络断开

→ 大概率触发了SSL Pinning（证书记钉）防御机制，需要用Frida等工具绕过

建议大家收藏这个万能命令，可以快速清除系统证书缓存：

Windows:

certutil -generateSSTFromWU roots.sst && certutil -addstore root roots.sst

Mac:

sudo security delete-certificate -c "Charles Proxy CA"

掌握Charles SSL证书安装就像拿到了网络世界的万能钥匙——但记住蜘蛛侠他叔说的："能力越大责任越大"。作为专业安全人员，我强烈建议：

1?? 只在授权范围内进行测试

2?? 敏感数据必须脱敏处理

3?? 用完后像特工一样清理痕迹

如果这篇教程帮你解决了问题，不妨Ctrl+D存个书签。下次遇到更棘手的HTTPS抓包问题，咱们再聊聊如何对抗SSL Pinning！（眨眼）

TAG:charles get ssl 证书,charles ssl pinning,ssl,charles,charles证书安装