Ga naar inhoud

Certificaten installeren en beheren

Om HTTPS met een proxy vast te leggen, is de eerste stap dat apparaten en software het root-certificaat van deze tool vertrouwen, anders krijg je TLS-fouten en kun je niet ontsleutelen. Certificaatbeheer maakt dit met één klik en volledig dekkend: deze machine, telefoons en zelfs die programma’s die “nog steeds niet vertrouwen nadat het systeemcertificaat is geïnstalleerd” kunnen allemaal worden ingesteld.


1. Installatie met één klik op deze machine

Section titled “1. Installatie met één klik op deze machine”
  • Controleer op elk moment of deze machine het root-certificaat van deze tool al vertrouwt.
  • “Installeren en vertrouwen op deze machine” met één klik, eenmalig en klaar, waarna elke sessie HTTPS kan ontsleutelen.
  • Download indien nodig het root-certificaat (meerdere formaten) om handmatig te verspreiden.

Certificaatbeheer: installatie met één klik van de vertrouwensstatus op de machine, download in meerdere formaten, volledige dekking van onafhankelijke vertrouwensstores zoals Java / Python / OpenSSL, en het genereren van een QR-code voor installatie op de telefoon


2. Installeren op een telefoon door een QR-code te scannen

Section titled “2. Installeren op een telefoon door een QR-code te scannen”
  • Genereer een QR-code voor elk bruikbaar adres op het LAN; scan die met de telefooncamera, open de installatiepagina en stel het certificaat in, ondersteund op zowel iOS als Android.
  • iOS biedt daarnaast een installatie met één klik via een configuratieprofiel.
  • Geroote Android-apparaten kunnen het root-certificaat direct in de systeemcertificaatstore installeren, wat je een handmatige import bespaart.
  • Het root-certificaat is universeel bruikbaar, en elk apparaat hoeft het maar één keer te vertrouwen.

3. Volledige certificaatdekking: zelfs programma’s die “het systeemcertificaat niet vertrouwen” kunnen worden ontsleuteld

Section titled “3. Volledige certificaatdekking: zelfs programma’s die “het systeemcertificaat niet vertrouwen” kunnen worden ontsleuteld”

Sommige programma’s kunnen nog steeds niet worden ontsleuteld, zelfs met het systeemcertificaat geïnstalleerd, omdat ze alleen hun eigen certificaatlijst vertrouwen. Volledige certificaatdekking installeert het root-certificaat rechtstreeks in deze programma’s, zodat ook zij kunnen worden ontsleuteld:

  • Java-programma’s
  • Python-programma’s
  • Commandoregel- en scripttools zoals curl / wget / Ruby / PHP / git
  • Software zoals Firefox / Thunderbird

De tool ontdekt deze software op je machine automatisch (inclusief wat er momenteel draait) en toont voor elk “geïnstalleerd / niet geïnstalleerd”. Mist de automatische detectie iets, dan kun je ook handmatig het pad invoeren om het toe te voegen.

Dit is precies het aanhoudende probleem van gewone tools: het certificaat is geïnstalleerd, maar het programma kan nog steeds niet worden ontsleuteld. Volledige certificaatdekking is hier de oplossing voor.


Als de doelsite een clientcertificaat vereist en je toevallig over een certificaat beschikt, importeer het dan (met wachtwoord) op de pagina “Client-/domeincertificaten”, en dan kunnen deze sites normaal worden ontsleuteld wanneer je ze vastlegt.


  • Voordat je voor het eerst HTTPS met een proxy vastlegt, laat deze machine / telefoon het root-certificaat vertrouwen.
  • Vastleggen op een telefoon: scan de QR-code om het certificaat te installeren.
  • Wanneer het doel een programma is zoals Java / Python / curl / Firefox en ontsleuteling mislukt: gebruik volledige certificaatdekking om het certificaat erin te installeren.

Terug naar Proxy-capture · Gerelateerd: Certificate pinning opheffen