Android系统下Chrome不信任已安装系统证书的解决方案

在Android设备上进行网络调试或安全分析时，经常会遇到需要安装自定义CA证书的情况。然而，即使用户已经将证书安装为系统证书，Chrome浏览器仍然可能显示"NET::ERR_CERT_AUTHORITY_INVALID"错误，拒绝建立安全连接。这种情况尤其常见于访问启用了HSTS(HTTP严格传输安全)的网站。

问题根源分析

Chrome浏览器对证书验证有着严格的安全策略。当遇到以下情况时，即使证书已安装，Chrome仍会拒绝连接：

1. HSTS策略限制：许多大型网站如GitHub都启用了HSTS，强制浏览器只能通过HTTPS连接，并且对证书验证更加严格

2. 证书安装位置不当：Android系统支持两种证书存储位置 - 系统证书存储区和用户证书存储区。Chrome可能对系统证书和用户证书的处理方式不同

3. 证书链不完整：如果中间证书缺失，可能导致验证失败

4. 时间不同步：设备时间不正确会影响证书有效期验证

有效解决方案

经过实际测试验证，以下方法可以解决Chrome不信任已安装证书的问题：

1. 安装证书到用户存储区

操作步骤：

1. 首先确保系统证书存储区中没有目标证书（如有，需先移除）
2. 通过设置→安全→加密与凭据→安装证书，将CA证书安装为用户证书
3. 重启设备使更改生效

原理：用户证书存储区在某些Android版本上可能获得Chrome更好的兼容性支持

2. 同时保留系统和用户证书

在某些情况下，可以尝试让证书同时存在于系统证书存储区和用户证书存储区：

1. 先安装为用户证书
2. 再通过Magisk等工具安装为系统证书
3. 这样证书会同时出现在两个存储区

注意：如果证书已存在于系统存储区，Android通常不允许再安装为用户证书

3. 清除Chrome的HSTS缓存

对于特定网站的HSTS问题：

1. 在Chrome地址栏输入：chrome://net-internals/#hsts
2. 在"Delete domain security policies"部分输入问题域名
3. 点击"Delete"按钮清除HSTS设置

进阶建议

1. 证书格式验证：确保证书文件是PEM格式，且包含完整的证书链

2. 时间同步检查：确认设备时间与网络时间协议(NTP)服务器同步

3. 浏览器更新：使用最新版Chrome，旧版本可能存在已知的证书验证问题

4. 多浏览器测试：使用Firefox等浏览器交叉验证，确认是否为Chrome特有行为

通过以上方法，大多数情况下可以解决Android设备上Chrome不信任已安装证书的问题，为开发者进行网络调试和安全分析扫清障碍。