作为网络安全工程师，我经常用Charles抓包分析APP和网站的通信数据。但遇到HTTPS加密流量时，如果不安装SSL证书，看到的全是乱码！今天就用大白话+实操案例，教你如何给Charles装证书，轻松解密HTTPS流量。

一、为什么Charles需要SSL证书？

HTTPS就像快递员的“加密包裹”，服务器和客户端（比如手机APP）用SSL证书互相验证身份，数据全程加密传输。如果直接用Charles抓包，你看到的会是这样的乱码：

```

1A 9F 0C... （实际是加密后的购物车数据）

```

相当于你截获了一个密码箱，但没有钥匙（证书）就打不开。

? 解决方案：在设备上安装Charles的根证书，“骗”过系统让它认为Charles是可信的中间人（术语叫MITM），从而解密流量。

二、安装Charles SSL证书的3个关键步骤（附避坑指南）

步骤1：在电脑上生成Charles根证书

打开Charles → 点击顶部菜单 Help → SSL Proxying → Install Charles Root Certificate。

 （注：此处为示意URL）

?? 常见报错：如果提示“无法导入”，可能是权限问题。试试右键证书文件 → 安装到“受信任的根证书颁发机构”（Windows）或拖到钥匙串访问（Mac）。

步骤2：在手机/浏览器安装同一个证书

- 安卓手机：用浏览器访问 `chls.pro/ssl` 下载证书 → 在设置中搜索“CA证书”并安装。

- iPhone：Safari访问 `chls.pro/ssl` → 按提示在“描述文件”中安装（需输入锁屏密码）。

- 浏览器信任设置：以Chrome为例，地址栏输入 `chrome://settings/certificates` → 导入Charles证书并勾选“信任”。

?? 案例分享：某次测试中，我发现iPhone装完证书记得去 设置→通用→关于本机→证书信任设置 里手动启用信任，否则依然抓不到包！

步骤3：配置SSL代理规则（否则白装！）

在Charles中右键目标域名 → Enable SSL Proxying，或全局设置：

Proxy → SSL Proxying Settings → Add

Host: * (代表所有域名) Port: 443

? 效果验证：访问百度首页，如果看到明文请求（如搜索关键词），说明成功！失败的话检查是否漏了上述任何一步。

三、安全注意事项（血的教训！）

1. 仅限测试环境使用 ：生产环境随意解密HTTPS可能违反法律或公司政策！我曾见过开发者在线上环境开启Charles代理导致用户数据泄露的事故。

2. 及时删除测试证书 ：用完记得在设备上移除Charles证书，避免被恶意利用。Mac用户可在钥匙串访问中找到并删除。

3. **小心伪造攻击风险* ：黑客也可能诱导你安装虚假根证书窃密！确保你的Charles是从官网下载的正版工具。

四、扩展应用场景

- **测试API接口 ：比如电商APP下单时，用Charles解密查看优惠券是否真的传给服务器。

- *排查混合内容问题* ：网页加载HTTP资源时会报警告，通过抓包快速定位是哪个图片/js文件没走HTTPS。

如果你卡在任何一步，欢迎评论区提问！下期我会详解如何用Charles修改请求参数做安全测试（比如把支付金额改成0.01元试试防护逻辑??）。

TAG:charles 加ssl证书,charles/ssl,pem,charles证书下载地址