Com base na discussão de solução de problemas de comentários para o OP, a resposta é instalar apenas o certificado CA do proxy como confiável, não seu cert + chave privada.
O problema foi causado por dois fatores:
Instalar não apenas o certificado CA do proxy MiTM, mas também sua chave privada (permitindo assim que aplicativos VPN no dispositivo descriptografem / tráfego de rede MiTM de outros aplicativos). Você não precisa da chave privada do proxy MiTM no dispositivo.
Alteração do Android Nougat no comportamento do Settings -> Security -> Install from storage
fluxo de arquivos que contêm uma chave privada além do (s) certificado (s). Essa mudança de comportamento desmascarou o problema acima.
Antes do Nougat, o Settings -> Security -> Install from storage
fluxo de arquivos contendo uma chave privada além de certificados instalava erroneamente os certificados como confiáveis para autenticação de servidor (por exemplo, HTTPS, TLS, tornando assim seu MiTM bem-sucedido), além de ser instalado corretamente como certificados de cliente usados para autenticar este dispositivo Android para servidores. No Nougat, o bug foi corrigido e esses certificados não são mais instalados como confiáveis para autenticação do servidor. Isso evita que as credenciais de autenticação do cliente afetem (entrelace) a segurança das conexões com os servidores. Em seu cenário, isso impede que seu MiTM seja bem-sucedido.
O que complica as coisas é que o Settings -> Security -> Install from storage
não fornece uma maneira explícita para o usuário especificar se está instalando uma credencial de autenticação de cliente (chave privada + cadeia de certificados) ou uma âncora de confiança de autenticação de servidor (apenas um certificado CA - nenhuma chave privada necessária) . Como resultado, o Settings -> Security -> Install from storage
fluxo adivinha se está lidando com a credencial de autenticação de cliente / usuário ou âncora de confiança de autenticação de servidor, assumindo que, se uma chave privada for especificada, ela deve ser uma credencial de autenticação de cliente / usuário. No seu caso, assumiu incorretamente que você está instalando uma credencial de autenticação de cliente / usuário em vez de uma âncora de confiança de autenticação de servidor.
PS Com relação à sua configuração de segurança de rede, você provavelmente deve configurar o aplicativo para confiar também nas âncoras de confiança do "sistema" no modo de depuração (seção sobreposições de depuração). Caso contrário, compilações de depuração do aplicativo não funcionarão, a menos que as conexões sejam MiTM por um proxy cujo certificado CA esteja instalado como confiável no dispositivo Android.
user
aquele para o<base-config>
e ver se isso muda. Não deveria, mas só vai demorar um pouco para tentar.