Android不信任證書

Question

我跑openssl s_client -connect mywishboard.com:443 | openssl x509 -noout -subject -issuer ，我得到以下有關證書的信息（由客戶端開發人員設置好的）

depth=2 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Certification Authority 
verify return:1 
depth=1 C = IL, O = StartCom Ltd., OU = StartCom Certification Authority, CN = StartCom Class 1 DV Server CA 
verify return:1 
depth=0 CN = mywishboard.com 
verify return:1 
subject= /CN=mywishboard.com 
issuer= /C=IL/O=StartCom Ltd./OU=StartCom Certification Authority/CN=StartCom Class 1 DV Server CA 

然後我檢查去Settings/system/trusted certificats，看到StartCom有限公司是其中

然而，當我特林讓HTTPS請求，他們拋出

javax.net.ssl.SSLHandshakeException: 
java.security.cert.CertPathValidatorException: 
Trust anchor for certification path not found 

如果我使用捲曲-I https://mywishboard.com/xxx，它返回

curl: (60) server certificate verification failed. CAfile: /etc/ssl 
/certs/ca-certificates.crt CRLfile: none 

是該證書的格式不正確，或者我需要明確地將其安裝到Android設備？（但據我瞭解，如果證書與信任的CA發行人簽署的，比我並不需要安裝它，我是右）

Answer 1

需要完成證書鏈的網站does not provide an intermediate certificate。某些客戶端（如Android）無法構建完整的證書路徑，並且在發生這種情況時不相信證書。

如果您是站點管理員，以解決這一問題的正確方法是download and supply the intermediate certificate，這樣完整的鏈條被髮送。

Answer 2

有兩個潛在的問題：

• 使用的根CA是「去爸爸根證書頒發機構 - G2」這可能不是？可在你的Android設備。
• 服務器不提供中級CA「Go Daddy 安全證書頒發機構-G2」。服務器證書由根CA「Go Daddy Root Certificate Authority-G2」頒發的中級CA「Go Daddy安全證書頒發機構 - G2」頒發。對於Web服務器來說，這不是一個問題，因爲他們能夠使用來自服務器證書的AIA擴展來下載中間CA，但是您的Java應用程序不會，除非您開發此功能。