React Native Video 项目中 Android 平台 SSL 证书验证问题解析

2025-05-30 17:17:08作者：侯霆垣

问题背景

在 React Native Video 项目（版本 6.4.5）的 Android 平台实现中，开发者报告了一个关于播放 m3u8 视频流时出现的 SSL 证书验证失败问题。这个问题表现为播放器无法建立安全连接，导致视频无法正常播放。

错误现象分析

当尝试播放 m3u8 格式的视频流时，系统抛出以下关键错误链：

顶层错误：ExoPlaybackException: Source error
底层原因：SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found

这个错误链表明，Android 系统的安全框架无法验证服务器提供的 SSL 证书，导致 HTTPS 连接无法建立。

技术原理

在 Android 平台上，视频播放器使用 ExoPlayer 作为底层引擎。当通过 HTTPS 协议获取视频流时，系统会执行标准的 SSL/TLS 握手流程：

服务器提供证书链
客户端验证证书的有效性
验证包括：证书是否过期、是否由受信任的 CA 签发、域名是否匹配等

当其中任何一项验证失败时，Android 安全框架就会抛出 CertPathValidatorException 异常。

常见原因

自签名证书：服务器使用了不在 Android 系统信任库中的自签名证书
中间证书缺失：服务器配置的证书链不完整，缺少中间 CA 证书
系统时间不正确：设备时间与证书有效期不匹配（如设备时间设置错误）
证书已过期：服务器证书超过了有效期
域名不匹配：证书中的 SAN/CN 与请求的域名不一致

解决方案

1. 修复服务器证书配置

最根本的解决方案是确保服务器使用有效的、由公共信任的 CA 签发的证书，并正确配置证书链。

2. 客户端处理方案

如果无法修改服务器配置，可以考虑以下客户端解决方案：

方案一：配置网络安全策略

在 AndroidManifest.xml 中针对特定域名放宽网络安全要求：

<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">yourdomain.com</domain>
        <trust-anchors>
            <certificates src="system"/>
            <certificates src="user"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

方案二：自定义信任管理器

对于高级用例，可以实现自定义的 TrustManager 来覆盖默认的证书验证逻辑：

TrustManager[] trustAllCerts = new TrustManager[]{
    new X509TrustManager() {
        public void checkClientTrusted(X509Certificate[] chain, String authType) {}
        public void checkServerTrusted(X509Certificate[] chain, String authType) {}
        public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; }
    }
};