Charles Proxy 自定义 CA 证书的例子

Charles Proxy 跟 Windows 平台下的 Fiddler 一样可以查看 HTTPS 流量，但使用 Charles 官方提供的 CA 证书检查 HTTPS 请求时，Firefox 35 下网页会出现如下错误：
twitter.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate has expired. (Error code: sec_error_expired_issuer_certificate)
据说原因是这样的：

The more recent versions of Firefox only allow certs with start dates after the unix epoch (1st Jan 1970). As the Charles CA cert has a start year of 1899 it’s seen as expired.
最新版本的 Firefox 只允许证书的起始时间在 1970 以后，而 Charles CA 证书的起始时间是 1899。
解决办法是自建一个证书。

自建 CA 证书

我的过程基于 openSUSE 13.2 操作系统。
逐行执行以下命令（openSUSE 下需要管理员权限）。

mkdir -p /usr/local/CharlesCA
cd /usr/local/CharlesCA
mkdir certs private newcerts
echo 01 > serial
touch index.txt

生成 CA 证书

openssl req -new -x509 -days 3650 -extensions v3_ca
-keyout private/ca_key.pem -out certs/ca_cert.pem
-config /etc/ssl/openssl.cnf

请注意 -config 后指向的路径，这里是我 openSUSE 下 openssl.cnf 文件路径，请根据自己的操作系统确认其路径。

这一步中也会要求填写 passphrase 及其它信息，passphrase 后面在 Charles 中会用到。
转换为 PKCS12 格式
因为 Charles 需要 pkcs12 格式的证书，所以还需要做个转换：
openssl pkcs12 -export -out ca_cert.pfx -inkey private/ca_key.pem -in certs/ca_cert.pem
这样，/usr/local/CharlesCA 目录下会生成 ca_cert.pfx 文件。
我们总共得到了 3 个重要的文件：

ca_cert.pfx – charles 添加自定义证书用的
ca_cert.pem – 提供给客户端使用的
ca_key.pem – 钥匙（请保证它的安全）

配置 charles
打开 charles -> Proxy -> Proxy Settings… 菜单
点击 SSL 标签页

勾选 ‘Use a custom CA certificate’
点击 CHOOSE 按键，选择 /usr/local/CharlesCA/ca_cert.pfx 文件
这样就配置好 charles 的证书。

导入证书到 Firefox

打开 Firefox -> Preferences
选择 Advanced -> Certificates 标签页
点击 VIEW CERTIFICATES
点击 IMPORT...

定位到 /usr/local/CharlesCA/certs/ca_cert.pem 文件
勾选 ‘This certificate can identify websites’
确认
最后重启 Charles，会弹窗口要求填写上面创建证书时设置的 passphrase。之后 https 流量可以正常分析了。