Android OkHttp 连接 HTTPS 抛出 SSL 握手异常信任链如何解决

遇到 OkHttp 报 SSL 握手异常，最稳妥的办法是修复服务器证书链，如果是内部测试环境，则通过 Network Security Config 显式信任特定 CA，不要直接在代码里关闭验证。

先说结论：生产环境必须修复服务端证书，测试环境可通过配置文件信任自签名 CA，严禁使用 TrustAllManager 绕过验证。

• 先确认：检查证书是否过期、域名是否匹配、中间证书是否缺失
• 先处理：优先配置 network_security_config.xml，其次才考虑自定义 TrustManager
• 再验证：通过日志确认握手成功，并使用外部工具测试链路完整性

快速处理思路

Android 7.0 以后默认不再信任用户安装的 CA 证书，需要在资源文件中显式声明。以下是信任特定域名的自签名证书配置片段：

<network-security-config><domain-config cleartextTrafficPermitted="false"><domain includeSubdomains="true">example.com</domain><trust-anchors><certificates src="@raw/my_cert"/></trust-anchors></domain-config>
</network-security-config>

将 CA 证书放入 res/raw 并在配置中引用即可。

为什么会这样

SSL 握手异常通常意味着客户端无法验证服务端证书的有效性。OkHttp 依赖 Android 系统的 TrustManager 进行验证。从 Android 7.0 开始，为了安全，系统默认只信任系统预装的 CA，不再信任用户手动安装的证书，除非应用在配置中明确声明。

另外，如果服务端证书链不完整（缺少中间证书），桌面浏览器可能自动补全，但移动端 OkHttp 会直接报错。

分步处理

1. 检查证书状态：使用浏览器访问 HTTPS 链接，查看证书详情，确认有效期和颁发者。推荐使用 OpenSSL 命令检查链路完整性：

openssl s_client -connect your-domain.com:443 -showcerts

观察输出中是否有完整的证书链（Certificate chain），确认没有报错。

2. 导出证书：如果是自签名或内部 CA，需将根证书导出为 .cer 或 .pem 格式。

• 浏览器导出：点击地址栏锁图标 -> 证书 -> 详情 -> 导出，选择 DER 编码或 Base64 编码均可。
• OpenSSL 导出：从上述命令输出中复制 ---`--BEGIN` CERTIFICATE----- 到 ---`--END` CERTIFICATE----- 之间的内容保存为文件。

将导出文件重命名为 my_cert.cer 放入项目的 res/raw 目录（注意文件名只能小写字母和下划线）。

3. 编写配置文件：在 res/xml 创建 network_security_config.xml，使用 <trust-anchors> 标签引用刚才放入的证书。

4. 关联 Manifest：在 AndroidManifest.xml 的 <application> 标签中添加 android:networkSecurityConfig="@xml/network_security_config"。

5. OkHttp 配置：配置好系统级信任后，OkHttp 默认客户端即可正常工作。示例代码如下：

// Java 示例
OkHttpClient client = new OkHttpClient.Builder().build();
Request request = new Request.Builder().url("https://example.com").build();
Response response = client.newCall(request).execute();// Kotlin 示例
val client = OkHttpClient.Builder().build()
val request = Request.Builder().url("https://example.com").build()
val response = client.newCall(request).execute()

无需额外自定义 SSLSocketFactory，除非需要证书锁定（Certificate Pinning）。

怎么验证是否生效

运行应用并触发网络请求，观察 Logcat 日志。如果不再抛出 SSLHandshakeException 或 CertificateException，且业务数据正常返回，则说明握手成功。

可以在服务端或同网络环境下使用 curl 测试证书链是否完整：

curl -v https://your-domain.com

常见坑

1. TrustAllManager 风险：网上很多示例代码会教你就写一个信任所有证书的 TrustManager，这在生产环境是严重安全漏洞，容易被中间人攻击，绝对不要上线。

2. 证书锁定过期：如果使用了 Certificate Pinning，务必设置 expiration 时间，并在证书轮换前提前更新应用，否则会导致所有用户无法联网。

3. Android 版本差异：Android 9 以上对 cleartext traffic 限制更严，同时 API 级别不同可能影响 TLS 版本支持，建议 targetSdkVersion 保持更新。

4. 文件名规范：res/raw 下的证书文件必须小写字母、数字或下划线，不能有大写或中划线，否则编译报错。

参考来源

• Android Developers: Network security configuration - https://developer.android.com/training/articles/security-config
• Square OkHttp: SSL - https://square.github.io/okhttp/ssl/

原文链接：https://www.zjcp.cc/ask/11712.html