咱们先直接说核心结论：目前Android Management API（AMA）并没有官方支持的方法，能把自定义CA证书安装到系统信任存储区——哪怕你用了设备所有者权限、配置了DelegatedScope，DevicePolicyManager.installCaCert()也只能把CA装到用户级存储里，这是Android系统本身的安全限制，不是API的问题。

那如果不想用root（毕竟root确实会破坏设备稳定性和部分应用的正常运行），还有哪些非root方法能实现类似需求呢？我给你整理几个可行的方向：

• OEM出厂预配置：如果是批量部署的企业设备，最可靠的方式是和设备厂商合作，把你的自定义CA证书预安装到系统信任存储区里。现在很多OEM都支持企业定制服务，设备出厂时就自带你的CA，这样所有依赖系统信任锚的应用都会自动信任它，完全符合你的需求。
• 修改自有应用的网络安全配置：如果只是你自己开发的应用需要信任这个CA，可以在应用的res/xml/network_security_config.xml里配置同时信任系统和用户CA：

  <network-security-config>
      <base-config>
          <trust-anchors>
              <certificates src="system" />
              <certificates src="user" />
          </trust-anchors>
      </base-config>
  </network-security-config>
  

  然后在AndroidManifest.xml里引用这个配置：android:networkSecurityConfig="@xml/network_security_config"。不过这个方法只适用于你能控制的应用，第三方应用如果硬限制只信任系统CA的话，就没办法了。
• 企业VPN代理方案：可以部署一个企业级VPN，把设备的所有网络流量路由到VPN服务器，在VPN层完成证书校验。这种方式不需要修改设备的CA存储，只要VPN服务器信任你的CA，就能让所有应用间接信任它。不过这个方案需要搭建额外的VPN基础设施，还要注意符合隐私合规要求。

另外得给你解释下为什么AMA做不到：Android系统为了保障设备安全，严格限制了系统信任存储的修改权限——除了系统镜像本身和OEM预配置，哪怕是设备所有者也没有权限往系统CA存储里加证书。这是底层的安全设计，AMA作为上层管理API自然也突破不了这个限制。

如果以上方案都不符合你的场景，可能需要重新评估需求：是不是真的需要所有第三方应用都信任这个CA？如果只是特定应用的话，调整方案会更灵活。

内容来源于stack exchange