Android Nougat(7.0) 及以上出现 Chain validation failed 的解决方案

最近项目需要适配7.0，发现开始报

Caused by: java.security.cert.CertificateException: Chain validation failed

网络安全性配置 只适用于 targetSdk>23 的应用，但依旧尝试了一番，结果依旧。

再经过google一番，依然无法找到解决方案后，开始了openssl分析 :

openssl s_client -connect 192.168.1.1:8443  -cert path/client.cer -key path/client-key.pem -tls1 -CAfile path/ca.cer

发现在握手过程中报过一次错误，但是并不影响7.0以下建立连接，猜测7.0以后加强了SSL验证环节，任何报错都将导致握手失败。

最后发现-CAfile需要的是证书链而不仅仅是一个root.cer，即必须包含所有证书信息：

-----BEGIN CERTIFICATE----- 
(如: domain.cer) 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
(如: domain1.cer)
-----END CERTIFICATE----- 
..........................
..........................
-----BEGIN CERTIFICATE----- 
(如:root.cer) 
-----END CERTIFICATE-----

同理推断 Android需要在信任证书库生成后加入以下代码:

CertificateFactory cf = CertificateFactory.getInstance("X.509");
InputStream caInput =IApplication.getContext()
                        .getResources().openRawResource(R.raw.ca_c);
Certificate ca_c;
try {
ca_c = cf.generateCertificate(caInput);
} finally {
caInput.close();
}
//注意 这个是信任证书库 ，双向认证的别写在客户端库了
if(ca_c!=null){
trustStore.setCertificateEntry("ca", ca_c);
}

ps：当然也可以使用BC打包证书库(设置密码更安全)，注意一定要把整个证书链都依次加入信任证书库。