本文將介紹什么是商戶 API 私鑰、證書以及微信支付平臺證書,以及它們的獲取方法。
# 商戶 API 證書
商戶API證書是指由商戶申請的,包含商戶的商戶號、公司名稱、公鑰信息的證書。
微信支付 APIv3 使用由 證書授權(quán)機構(gòu)(Certificate Authority,簡稱CA)簽發(fā)的證書。商戶可以自行生成證書請求串,也可以下載微信支付證書工具生成證書請求串。提交證書請求串至商戶平臺后,即可獲得商戶 API 證書文件。請注意安全保存私鑰文件。
- 新接入商戶,請參考 什么是 API 證書?如何獲取 API 證書? (opens new window)
- 已經(jīng)接入并使用微信支付頒發(fā)證書的商戶,請參考 微信支付 API 證書升級指引(技術(shù)人員) (opens new window)。APIv3 不再支持微信支付頒發(fā)的證書。
注意
證書升級不會影響現(xiàn)有服務(wù)。微信支付頒發(fā)的證書將在升級后14天失效。請盡快用新證書替換服務(wù)器上的舊證書。
# 商戶 API 私鑰
商戶申請商戶 API 證書時,證書工具會生成商戶私鑰,并保存在本地證書文件夾的文件 apiclient_key.pem 中。私鑰也可通過工具從商戶的 p12 證書中導(dǎo)出。請妥善保管好商戶私鑰文件。
提示
請勿將私鑰文件暴露在公共場合,如上傳至 GitHub 或?qū)⑵鋵懭肟蛻舳舜a等。
# 微信支付平臺證書
微信支付平臺證書是由 微信支付 負(fù)責(zé)申請和管理的,該證書包含了微信支付平臺的身份標(biāo)識和公鑰信息。
每位商戶都會分配到一個或多個微信支付平臺證書。在處理接口響應(yīng)或回調(diào)通知時,商戶需要根據(jù)證書序列號選擇對應(yīng)的平臺證書,并使用其中的公鑰進行簽名驗證。
商戶可通過調(diào)用 獲取平臺證書列表 接口,獲取當(dāng)前可用的微信支付平臺證書。
警告
每個微信支付平臺證書的有效期為5年。在證書過期之前,微信支付將逐步使用新的平臺證書生成簽名。為了避免缺少對應(yīng)證書而驗簽失敗,商戶系統(tǒng)需支持多個微信支付平臺證書,定期通過接口下載新證書并部署至服務(wù)器。請參閱我們的 證書更新指引 ,避免依賴人工更新證書,保證業(yè)務(wù)的連續(xù)運轉(zhuǎn)。
# 聲明所使用的證書
為了確保安全性,請求和響應(yīng)的 HTTP 頭部都需要包含證書序列號。這有助于識別簽名或加密所使用的密鑰對和證書。以下是相關(guān)的詳細(xì)信息:
- 商戶簽名需使用商戶API證書私鑰。請將商戶API證書序列號放在請求HTTP頭部的
Authorization字段中的serial_no部分。 - 微信支付返回響應(yīng)內(nèi)容時,商戶需使用微信支付平臺證書公鑰驗證簽名。微信支付平臺證書序列號會包含在響應(yīng)HTTP頭部的
Wechatpay-Serial字段中。 - 在商戶請求中,若包含敏感信息,請使用微信支付平臺證書公鑰加密。同時,將微信支付平臺證書序列號放在請求HTTP頭部的
Wechatpay-Serial字段中。
如需了解如何獲取商戶API證書的證書序列號,請參閱如何查看證書序列號。
