一. 普通HTTPS的网站

普通的HTTPS 的网站使用ZAP 自带的证书就可以解决问题，只需要安装ZAP 证书到代理机器上就可以了。不需要了解和知道真正的网站证书。

当我们给浏览器设置好代理后，需要把ZAP工具的证书导入到浏览器中。

1. 打开 Tools，Options 之后，查找 Dynamic SSL

Certificate.

2.然后把导出证书导入到浏览器的证书中。

3.导入后，设置好浏览器代理。重新启动ZAP和浏览器。

4.输入网址。如果有如下情况，请添加网址到例外网站中。或者在ZAP设置客户端证书的地方，不安全SSL网站也可以访问（见下张图），就可以安全测试了。

二. HSTS的网址

因为 OWASP 只支持p12 证书，所以需要用到openssl 把证书导出成p12 格式。

将cer.pem与key.pem合成一个pem：

cat cer.pem key.pem > cer_key.pem

或者可以通过在线合成www.myssl.cn/tools/merge… 转 p12，输入导出秘钥

openssl pkcs12 -export -in cer_key.pem -out zap.p12

或者cer_key.pem 转 cer

openssl x509 -outform der -in cer_key.pem -out zap.cer

然后将证书导入如下位置，就可用了。记得设置p12文件的密码哦。

快学习起来吧。