公司：#百度 #小米 

岗位：#接口测试工程师 

关键字：#接口测试 #接口测试工程师 #API接口 #fiddler 

第一步，Fiddler截获客户端发送给服务器的HTTPS请求，Fiddler伪装成客户端向服务器发送请求进行握手 。 

第二步，服务器发回相应，Fiddler获取到服务器的CA证书， 用根证书（这里的根证书是CA认证中心给自己颁发的证书）公钥进行解密， 验证服务器数据签名， 获取到服务器CA证书公钥。然后Fiddler伪造自己的CA证书（这里的CA证书，也是根证书，只不过是Fiddler伪造的根证书）， 冒充服务器证书传递给客户端浏览器。 

第三步，与普通过程中客户端的操作相同，客户端根据返回的数据进行证书校验、生成密码Pre_master、用Fiddler伪造的证书公钥，并生成HTTPS通信用的对称密钥enc_key。 

第四步，客户端将重要信息传递给服务器， 又被Fiddler截获。Fiddler将截获的密文用自己伪造证书的私钥解开， 获得并计算得到HTTPS通信用的对称密钥enc_key。Fiddler将对称密钥用服务器证书公钥传递给服务器。 

第五步，与普通过程中服务器端的操作相同，服务器用私钥解开后建立信任，然后再发送握手消息给客户端。 

第六步，Fiddler截获服务器发送的密文， 用对称密钥解开， 再用自己伪造证书的私钥传给客户端。 

第七步，客户端拿到信息后，用公钥解开，验证HASH。握手过程正式完成，客户端与服务器端就这样建立了”信任“。