小米手机如何将Charles证书安装至系统信任？

一、HTTPS抓包基础与小米手机的特殊性

在移动应用安全测试和接口调试中，HTTPS抓包是常见的技术手段。Charles Proxy作为主流抓包工具，通过中间人（MITM）方式解密HTTPS流量。其核心机制依赖于客户端信任代理服务器的根证书。

自Android 7.0（Nougat）起，Google引入了网络安全配置（Network Security Config），默认情况下，应用仅信任系统级CA证书，而用户安装的证书被归类为“用户凭据”，不被纳入信任链。这导致即使用户成功安装Charles证书，在微信、银行类等高安全要求App中仍无法解密HTTPS流量。

小米手机运行MIUI系统，其权限管理策略更为严格，尤其在证书管理方面，默认仅允许将证书置于用户目录，且未提供图形化界面将用户证书提升至系统级。因此，常规安装方式无法满足深度抓包需求。

二、问题分析：为何用户证书无法生效

• Android 7.0+ 安全策略变更：应用可通过<application android:networkSecurityConfig="...">定义信任范围，多数金融类App明确排除用户CA。
• MIUI系统限制：小米设备未开放“系统证书”安装入口，用户证书自动归入/data/misc/user/0/cacerts，而非/system/etc/security/cacerts。
• 应用层校验增强：部分App集成SSL Pinning（证书绑定），不仅校验证书颁发机构，还校验具体证书指纹，进一步阻止抓包行为。

三、解决方案路径概览

四、实战步骤：将Charles证书提升至系统级信任（基于Magisk）

1. 从Charles导出证书（.pem格式），重命名为charles-ssl-proxying.p12并转换为DER格式：

2. openssl x509 -in charles.pem -outform DER -out charles.cer

3. 将charles.cer推送至手机存储根目录。
4. 获取Root权限，推荐使用Magisk Manager完成Root管理。
5. 安装Magisk模块Move Certificates（可在Magisk Repo中搜索）。
6. 重启设备后，该模块会自动将用户证书迁移至系统证书目录/system/etc/security/cacerts。
7. 进入“设置 > 密码与安全性 > 加密与凭据 > 受信任的凭据”，确认Charles证书出现在“系统”标签页。
8. 配置Wi-Fi代理指向Charles所在PC的IP与端口（默认8888）。
9. 启动目标App（如微信），观察Charles是否能正常捕获HTTPS请求。

五、高级技巧：结合LSPosed绕过SSL Pinning

即便证书已置为系统级，部分App仍可能因SSL Pinning拒绝连接。此时可借助LSPosed框架注入Hook逻辑：

# 安装LSPosed（推荐使用Zygisk版本）
# 安装模块：TrustMeAlready 或 JustTrustMe
# 在LSPosed中激活模块，作用域选择目标App
# 清除App数据后重启，再次尝试抓包

六、流程图：小米手机HTTPS抓包完整流程

七、注意事项与风险提示

• 修改系统证书目录属于高风险操作，可能导致系统不稳定或Bootloop。
• 部分小米机型启用AVB（Android Verified Boot）校验，写入/system会触发启动失败。
• 金融类App可能检测到Root或Xposed环境，主动拒绝运行。
• 建议在测试机上操作，避免影响主用设备。
• 抓包行为应遵守法律法规，仅限授权范围内进行。
• 定期更新Magisk及模块版本，确保兼容最新MIUI系统。
• 某些MIUI国际版与国内版在安全策略上存在差异，需针对性测试。
• Android 11及以上版本引入Scoped Storage，需注意文件访问权限。
• 使用ADB命令时，确保已开启USB调试和OEM解锁。
• 证书命名需符合规范：<hash>.0，可通过openssl x509 -subject_hash_old -in cert.cer获取哈希值。