根据你描述的情况，已经排除了最常见的CA未知、自签名证书、缺失中级CA这三类问题，那我们可以从服务器SSL配置细节、安卓系统/厂商差异、应用代码实现这几个方向深入排查：

一、先确认Kestrel的证书链是否完整加载 #

虽然SSL检查工具显示证书链有效，但ASP.NET Core 2.0的Kestrel如果只单独配置服务器证书，可能没有正确把中级CA链打包发送给客户端。部分安卓厂商的系统信任池对“不完整证书链”的容错性更低，这可能是三星能正常访问、其他设备不行的原因。

操作步骤： #

1. 重新生成包含完整链的证书文件：
   把Comodo提供的服务器证书、中级CA证书（通常在bundle.crt文件里）按顺序合并成一个PFX文件（服务器证书在前，中级CA在后），或者直接使用包含完整链的PEM文件。
2. 修改Kestrel配置：
   在appsettings.json中明确指定完整链的证书路径：

   "Kestrel": {
     "EndPoints": {
       "Https": {
         "Url": "https://*:443",
         "Certificate": {
           "Path": "path/to/full-chain-cert.pfx",
           "Password": "your-cert-password"
         }
       }
     }
   }
   

3. 验证服务器返回的证书链：
   用命令行工具检查服务器实际返回的证书链：

   openssl s_client -connect your-domain.com:443 -showcerts
   

   输出中应该能看到服务器证书、中级CA证书的完整序列，而不只是单独的服务器证书。

二、调整Kestrel的SSL协议与加密套件 #

部分安卓设备（尤其是旧版本或厂商定制系统）不支持较新的TLS协议或加密套件，会导致握手失败，间接抛出证书信任错误。

操作步骤： #

在ASP.NET Core的ConfigureServices中配置兼容的SSL参数：

services.Configure<KestrelServerOptions>(options =>
{
    options.ListenAnyIP(443, listenOptions =>
    {
        listenOptions.UseHttps("path/to/full-chain-cert.pfx", "your-password");
        // 启用旧安卓支持的TLS版本
        listenOptions.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11 | SslProtocols.Tls;
        // 使用安卓普遍支持的加密套件
        listenOptions.CipherSuitesPolicy = CipherSuitesPolicy.CreateDefault();
    });
});

避免仅启用TLS 1.3，因为很多安卓7.0以下的设备不支持该协议。

三、适配安卓系统的信任池差异 #

不同安卓厂商的系统内置信任池可能存在差异，即使是主流CA（如Comodo），部分旧系统或定制系统可能没有包含对应的中级CA。你可以在应用层面主动添加信任该CA。

原生安卓代码示例： #

将Comodo的中级CA证书（comodo-intermediate.crt）放到res/raw目录，然后在网络请求中加载该证书：

// 加载中级CA证书
InputStream certStream = getResources().openRawResource(R.raw.comodo_intermediate);
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate cert = (X509Certificate) cf.generateCertificate(certStream);
certStream.close();

// 创建包含该CA的KeyStore
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null, null);
keyStore.setCertificateEntry("comodo_ca", cert);

// 初始化TrustManager
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);

// 配置SSLContext并应用到网络客户端
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);

// 以OkHttp为例
OkHttpClient client = new OkHttpClient.Builder()
    .sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) tmf.getTrustManagers()[0])
    .build();

这样可以让应用主动信任Comodo的中级CA，不受系统内置信任池的限制。

四、排查厂商定制安全机制 #

部分厂商（如小米）的系统可能自带安全检测规则，对某些SSL配置做了额外限制。你可以：

• 在问题设备的安全设置中检查是否有“SSL证书验证”相关的开关，尝试临时关闭测试。
• 测试其他非三星、非小米的安卓设备（如华为、OPPO），确认问题是否仅出现在特定厂商设备上，缩小排查范围。

内容的提问来源于stack exchange，提问作者Bhimbim