Sunny抓包无法捕获HTTPS流量，如何配置证书并信任？

一、现象层：HTTPS流量“抓不到”——表象与直觉误区

多数工程师首次使用 Sunny Proxy 时，开启 HTTPS 拦截后发现 Chrome 显示“NET::ERR_CERT_AUTHORITY_INVALID”，iOS App 直接断连，Wireshark 或 Sunny 界面仅显示 CONNECT 请求无后续内容。这不是工具故障，而是 TLS 协议设计的必然反馈：客户端拒绝接受未经信任的 CA 签发的证书。此时抓包空白 ≠ 网络不通，而是 SSL 握手在 ClientHello 之后即被中止。

二、机制层：MITM 解密为何必须“自签根证书”？

Sunny Proxy 作为透明代理，需在客户端与目标服务器之间建立两个独立 TLS 连接（Client↔Sunny、Sunny↔Server）。为伪造目标域名证书，Sunny 必须持有可签发任意域名证书的私钥——即其内置 CA 根证书。该根证书若未被客户端操作系统或应用信任，所有衍生证书均被判定为“不可信”，触发浏览器/OS 的主动拦截。这本质是 PKI 体系的安全基石，而非 Sunny 的缺陷。

三、实施层：三步闭环配置法（含平台差异速查表）

四、验证层：如何确认证书已生效？

执行以下诊断链：
✅ 在设备浏览器访问 https://httpbin.org/get —— 若显示 JSON 响应且地址栏锁图标为绿色（非灰色带警告），说明 MITM 成功；
✅ 查看 Sunny Proxy Web 控制台的「SSL Sessions」标签页，应实时出现 httpbin.org 的解密会话（状态为 Decrypted）；
✅ 使用 OpenSSL 手动验证：openssl s_client -connect httpbin.org:443 -proxy 192.168.1.100:8080 2>/dev/null | grep "subject="，输出应包含 CN=sunny-ca 而非 CN=httpbin.org。

五、进阶层：绕过证书固定的工程化对策

六、日志层：从 SSL 握手失败定位根因

当抓包仍失败时，启用 Sunny 的详细日志（Settings → Logging → SSL Debug Level = DEBUG）：
• 若日志出现 SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found → 证书未安装或未启用完全信任；
• 若出现 javax.net.ssl.SSLProtocolException: Connection reset by peer → 可能因 TLS 1.3 Early Data 导致 ServerHello 后立即断连，需在 Sunny 设置中禁用 TLS 1.3 或启用 Allow Early Data Bypass；
• 若日志中无对应域名会话记录 → 检查 App 是否使用 OkHttp 的 ConnectionPool 复用连接，需强制关闭连接池或重启 App。

七、合规层：企业级部署中的证书生命周期管理

在测试团队规模化使用 Sunny 时，建议将 sunny-ca.crt 纳入 MDM（如 Jamf Pro / Intune）策略分发：Windows 通过 Group Policy 的 Certificate Path 自动导入；Android Enterprise 设备通过 DevicePolicyManager.setCertInstallerPackage() 静默安装；iOS 则打包为 .mobileconfig 配置描述文件，内嵌证书并预设信任开关。此举规避人工操作误差，并支持证书到期自动轮换（Sunny 支持 CA 私钥导出，可离线重签）。