改造失败响应回调，java.security.cert.CertificateException

Question

我正在尝试使用 Retrofit 来调用这个 api：https://api.wheretheiss.at/v1/satellites/25544

这是建立连接的代码：

retrieveButton.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {

                Retrofit retrofit = new Retrofit.Builder()
                        .baseUrl(BASEURL)
                        .addConverterFactory(GsonConverterFactory.create())
                        .build();

                ISSApi api = retrofit.create(ISSApi.class);

                Call<ISS> ISS = api.getLocation();

                ISS.enqueue(new Callback<ISS>() {
                    @Override
                    public void onResponse(Response<ISS> response) {
                        System.out.println("booya");
                    }

                    @Override
                    public void onFailure(Throwable t) {
                        System.out.println("failure");
                        System.out.println(t.getMessage().toString());
                        t.printStackTrace();

                    }
                });

所以它似乎至少能够在 onFailure 回调被触发时找到 API，但我得到了这个错误：

javax.net.ssl.SSLHandshakeException：java.security.cert.CertPathValidatorException：找不到证书路径的信任锚。

一些注意事项： 我之前使用过 OkHTTP 和启用了 SSL 的 API，而且我从来不需要处理证书。另外，我注意到，如果我访问 Nexus 5 上的 API 端点，我会得到：http://i.imgur.com/he8821o.png。也许这与问题有关？

任何帮助表示赞赏。使用改造 2.0.0。

Answer 1

您尝试连接的服务器没有适用于 Android 的有效 SSL 证书。

这很奇怪，因为我可以在我的计算机上毫无问题地访问它，但显然 Android 缺少签署此证书的 CA。

你可以做什么：

1. 在您的设备中手动添加证书 - 如果您将其部署给很多人，则不好。
2. 创建一个接受此服务器证书的自定义SslSocketFactory。

第二种方法是最好的，但它会带来很多问题。

例如，如果服务器更改了证书（它们通常会不时更改），在您更新应用之前，您每次都会收到同样的错误。
另一种方法是查找谁是此服务器证书的证书颁发机构并添加它（它适用于 #1 和 #2）。

查看this answer 了解如何使用 OkHttp 覆盖证书验证。

编辑：证书颁发者似乎是 RapidSSL（信息 here）。