一、为什么iOS上抓HTTPS流量必须装Charles证书？

想象你寄快递时用了一个防窥视的加密箱（HTTPS），而Charles就像个中转站安检员。如果不给它配一把正确的钥匙（SSL证书），它只能看到一堆乱码。iOS因严格的系统限制，必须手动信任证书才能解密HTTPS流量。

*真实案例*：某App登录接口返回500错误，开发者未装证书时只能看到“加密噪声”，安装后才发现是服务器返回了错误的JSON格式。

二、分步骤详解：iOS安装Charles SSL证书

步骤1：电脑端准备

确保Charles已开启SSL代理（Proxy > SSL Proxying Settings > Enable SSL Proxying），建议勾选"*"通配符拦截所有域名。

步骤2：手机获取证书

1. 手机连电脑同一WiFi，配置代理指向Charles（IP:8888）

2. 手机Safari访问`chls.pro/ssl` → 弹出描述文件安装界面

3. 安装时若提示“未验证”，需在【设置-通用-VPN与设备管理】中手动点击信任

*易错点*：iOS 13+必须额外到【设置-关于本机-证书信任设置】中启用根证书（如下图红框处）。

三、高频问题解决方案

问题1：“此网站的安全证书有问题”警告

原因：Charles默认生成的自签名证书不被系统认可。

解决：升级Charles到最新版（兼容iOS 16+的根CA算法），或改用付费版的正规CA证书。

问题2：某些App仍无法抓包（如银行类）

原因：App启用了SSL Pinning（证书绑定）。对抗方法：

- 越狱设备：安装Flex等工具hook验证逻辑

- 非越狱：用frida重写`NSURLSession`代码（需开发经验）

*实战场景*：某电商App使用双向SSL认证，需在Charles客户端导入服务器提供的.p12文件才能解密。

四、安全须知与企业级建议

1. 风险警示：抓包会导致明文暴露密码/Token，测试完毕务必删除证书！2025年某公司员工因测试证书未清理，导致内部API被黑客嗅探。

2. 企业开发最佳实践：

- 测试环境与生产环境使用不同域名

- 关键接口增加动态签名校验（如HMAC-SHA256）

通过以上步骤，你已经掌握了iOS+Charles抓包的核心技能。遇到异常时可优先检查三点：证书是否过期、WiFi代理是否生效、App是否做了防抓包措施。

TAG:charles ssl 证书ios,charles苹果证书下载,ssl,charles证书安装 iphone,charles,charles ssl ca certificate installatio