微信支付平臺(tái)證書(shū)是由 證書(shū)頒發(fā)機(jī)構(gòu) (opens new window) 頒發(fā),由微信支付 申請(qǐng)和管理的數(shù)字證書(shū),它包含了微信支付平臺(tái)的身份標(biāo)識(shí)和公鑰信息。
# 為什么要使用平臺(tái)證書(shū)
金融類(lèi)互聯(lián)網(wǎng)應(yīng)用的消息真實(shí)性和完整性至關(guān)重要。商戶(hù)系統(tǒng)在收到微信支付的應(yīng)答或回調(diào)通知時(shí),需要驗(yàn)證消息的真實(shí)性(確保來(lái)自微信支付)和完整性(未被第三方篡改)。
微信支付對(duì) HTTP 關(guān)鍵信息提供數(shù)字簽名。商戶(hù)通過(guò)使用微信支付平臺(tái)證書(shū)的公鑰驗(yàn)證簽名,可以確認(rèn)收到的消息確實(shí)來(lái)自微信支付,而非其他惡意方偽造。這樣,商戶(hù)可以安心處理交易請(qǐng)求,避免因信任錯(cuò)誤來(lái)源而導(dǎo)致的潛在風(fēng)險(xiǎn)。
# 平臺(tái)證書(shū)的有效期
微信支付平臺(tái)證書(shū)的有效期為5年。證書(shū)過(guò)期后,許多編程語(yǔ)言的密碼庫(kù)將不再視其為有效,導(dǎo)致商戶(hù)可能無(wú)法使用過(guò)期證書(shū)驗(yàn)證微信支付簽名。為確保順利過(guò)渡,微信支付會(huì)在當(dāng)前證書(shū)過(guò)期前,為商戶(hù)分配新的微信支付平臺(tái)證書(shū),并逐步采用新證書(shū)生成簽名。
已獲取平臺(tái)證書(shū)的商戶(hù)開(kāi)發(fā)者可以使用 openssl 命令行工具查看證書(shū)有效期。以下示例中的證書(shū)有效期至2024年8月17日。
1? openssl x509 -in your_wechatpay_cert.pem -noout -enddate2notAfter=Aug 17 06:52:04 2024 GMT商戶(hù)應(yīng)重視微信支付平臺(tái)證書(shū)的5年有效期,在平臺(tái)證書(shū)過(guò)期前及時(shí)獲取并部署新證書(shū)。只有正確處理微信支付平臺(tái)證書(shū),商戶(hù)才能實(shí)現(xiàn)支付功能的連續(xù)和穩(wěn)定,為用戶(hù)提供優(yōu)質(zhì)支付體驗(yàn)。
警告
若商戶(hù)未能及時(shí)更新證書(shū),可能導(dǎo)致驗(yàn)簽失敗,進(jìn)而影響正常交易處理。這將導(dǎo)致商戶(hù)運(yùn)營(yíng)中斷,影響收入和客戶(hù)滿(mǎn)意度。
# 獲取平臺(tái)證書(shū)
調(diào)用 下載平臺(tái)證書(shū) 接口,商戶(hù)系統(tǒng)可以獲取商戶(hù)當(dāng)前可用的微信支付平臺(tái)證書(shū)。
1{2 "data": [3 {4 "serial_no": "5157F09EFDC096DE15EBE81A47057A7232F1B8E1",5 "effective_time ": "2018-06-08T10:34:56+08:00",6 "expire_time ": "2018-12-08T10:34:56+08:00",7 "encrypt_certificate": {8 "algorithm": "AEAD_AES_256_GCM",9 "nonce": "61f9c719728a",10 "associated_data": "certificate",11 "ciphertext": "sRvt… "12 }13 },14 {15 // 商戶(hù)有多張證書(shū),以下省略16 }17 ]18}為確保證書(shū)傳輸?shù)耐暾院驼鎸?shí)性,微信支付采用了 AEAD (opens new window)(Authenticated Encryption with Associated Data)的加密,保護(hù)商戶(hù)獲取的平臺(tái)證書(shū)免受“中間人”篡改。請(qǐng)查看 如何解密證書(shū),從每個(gè)證書(shū)對(duì)象的 encrypt_certificate 中驗(yàn)證并解密出所有的微信支付平臺(tái)證書(shū)。
商戶(hù)開(kāi)發(fā)者也可以使用微信支付提供的 平臺(tái)證書(shū)下載工具 獲取平臺(tái)證書(shū)。
警告
每個(gè)商戶(hù)的平臺(tái)證書(shū)不止一個(gè)。在更換平臺(tái)證書(shū)期間,商戶(hù)獲取的平臺(tái)證書(shū)列表中一定會(huì)包含多個(gè)平臺(tái)證書(shū)。每個(gè)證書(shū)都可能被使用。因此,商戶(hù)應(yīng)把下載得到的所有證書(shū)保存并部署至商戶(hù)系統(tǒng)中。
# 使用平臺(tái)證書(shū)
微信支付平臺(tái)證書(shū)主要用于兩種場(chǎng)景:
- 商戶(hù)驗(yàn)證 API 應(yīng)答和回調(diào)通知簽名
- 商戶(hù)加密 API 請(qǐng)求中的敏感信息
# 驗(yàn)證簽名
驗(yàn)證簽名對(duì)保證消息安全至關(guān)重要。若商戶(hù)未能正確驗(yàn)證微信支付消息簽名,可能會(huì)接收并處理惡意方偽造的消息,導(dǎo)致資金損失或客戶(hù)投訴。
請(qǐng)查看我們的指引,了解如何使用微信支付平臺(tái)證書(shū) 驗(yàn)證簽名。
# 敏感信息加密
為保證通信過(guò)程中敏感信息字段(如用戶(hù)住址、銀行卡號(hào)、手機(jī)號(hào)碼等)的機(jī)密性,微信支付要求商戶(hù)加密傳輸 API 請(qǐng)求中的敏感信息字段。這樣,只有持有私鑰的微信支付才能解密商戶(hù)的敏感信息,避免中間人獲取敏感信息。
商戶(hù)開(kāi)發(fā)者應(yīng)使用微信支付平臺(tái)證書(shū)中的公鑰對(duì)請(qǐng)求中的敏感信息進(jìn)行加密。這樣,只有擁有私鑰的微信支付方可對(duì)密文解密,確保敏感信息的機(jī)密性。
請(qǐng)查看我們的指引,了解 如何加解密敏感信息。
提示
若有多個(gè)證書(shū),建議使用最新(過(guò)期時(shí)間最晚)證書(shū)公鑰,避免過(guò)期后未能及時(shí)更換,導(dǎo)致微信支付解密失敗。
# 新舊平臺(tái)證書(shū)更換機(jī)制
微信支付會(huì)在當(dāng)前證書(shū)過(guò)期前,為商戶(hù)分配新的微信支付平臺(tái)證書(shū)。為了幫助商戶(hù)平穩(wěn)、高效地更換新舊平臺(tái)證書(shū),微信支付為商戶(hù)提供了微信支付 平臺(tái)證書(shū)更換工具。
證書(shū)更換過(guò)程將包括以下幾個(gè)步驟:
- 舊證書(shū)過(guò)期前210天,微信支付會(huì)為商戶(hù)生成新證書(shū)。此時(shí),下載平臺(tái)證書(shū) 接口仍然只返回舊證書(shū)。若商戶(hù)系統(tǒng)已支持獲取多證書(shū),可登錄微信支付商戶(hù)平臺(tái)【賬戶(hù)中心—API安全—平臺(tái)證書(shū)-下載證書(shū)接口管理】主動(dòng)開(kāi)啟返回新證書(shū)。
- 舊證書(shū)過(guò)期前180天,下載平臺(tái)證書(shū)接口開(kāi)始同時(shí)返回新證書(shū)和舊證書(shū)。若商戶(hù)系統(tǒng)尚未支持獲取多證書(shū),可登錄微信支付商戶(hù)平臺(tái)【賬戶(hù)中心—API安全—平臺(tái)證書(shū)-下載證書(shū)接口管理】推遲新證書(shū)返回的日期。
- 下載平臺(tái)證書(shū)接口返回新證書(shū)后,商戶(hù)應(yīng)確認(rèn)新老證書(shū)都已部署至生產(chǎn)環(huán)境。若已部署完畢,商戶(hù)可登錄微信支付商戶(hù)平臺(tái)【賬戶(hù)中心—API安全—平臺(tái)證書(shū)】,開(kāi)啟新舊證書(shū)灰度更換。開(kāi)啟灰度更換后,微信支付將按照灰度比例,使用新證書(shū)對(duì)應(yīng)答和回調(diào)消息簽名。商戶(hù)系統(tǒng)需要根據(jù)證書(shū)序列號(hào),使用對(duì)應(yīng)的證書(shū)驗(yàn)證微信支付的消息簽名。
- 若舊證書(shū)過(guò)期前90天,商戶(hù)仍未主動(dòng)開(kāi)啟灰度更換,微信支付將自動(dòng)開(kāi)啟灰度更換,以避免證書(shū)直接過(guò)期對(duì)商戶(hù)造成更大影響。
注意
請(qǐng)確保你的系統(tǒng)支持平臺(tái)證書(shū)下載接口同時(shí)返回新證書(shū)、舊證書(shū),否則可能系統(tǒng)異常
請(qǐng)確保在舊證書(shū)過(guò)期前90天,你已經(jīng)將新、舊證書(shū)都部署至生產(chǎn)環(huán)境,并支持多證書(shū)驗(yàn)簽,否則可能系統(tǒng)異常
整個(gè)過(guò)程,商戶(hù)的超級(jí)管理員和安全聯(lián)系人都會(huì)收到微信支付商戶(hù)平臺(tái)站內(nèi)信、商家助手公眾號(hào)、服務(wù)商助手公眾號(hào)和短信的通知,以便商戶(hù)了解更換的進(jìn)度。
若以上任意時(shí)刻,商戶(hù)系統(tǒng)出現(xiàn)異常,商戶(hù)可在微信支付商戶(hù)平臺(tái)【賬戶(hù)中心—API安全—平臺(tái)證書(shū)】終止更換。商戶(hù)應(yīng)修復(fù)異常,并在確認(rèn)部署證書(shū)正確后,再次啟動(dòng)灰度更換。
詳細(xì)的操作指引請(qǐng)查看 平臺(tái)證書(shū)更換操作指引
# 最佳實(shí)踐
如果你使用 Java 或 Go 語(yǔ)言,推薦使用微信支付的服務(wù)端 SDK。使用 SDK,無(wú)需自行獲取微信支付平臺(tái)證書(shū)。SDK 提供了對(duì)應(yīng)的配置類(lèi),可自動(dòng)獲取和更新平臺(tái)證書(shū),并自動(dòng)驗(yàn)證簽名。
如果你自行實(shí)現(xiàn)平臺(tái)證書(shū)的獲取、使用、部署和更新,請(qǐng)遵循以下最佳實(shí)踐,確保正確使用,提高驗(yàn)證簽名的可用性和安全性。
# 部署平臺(tái)證書(shū)
在證書(shū)更新階段,微信支付會(huì)同時(shí)使用新舊證書(shū)。你應(yīng)將它們一同部署到生產(chǎn)環(huán)境中。商戶(hù)應(yīng)根據(jù)證書(shū)序列號(hào)選擇對(duì)應(yīng)證書(shū),以順利驗(yàn)證簽名。在部署證書(shū)時(shí),推薦將證書(shū)的元數(shù)據(jù)一并存儲(chǔ),以便于快速定位查找證書(shū)和定位問(wèn)題。例如,將證書(shū)的文件名命名為 {商戶(hù)號(hào)}_{過(guò)期時(shí)間}_{證書(shū)序列號(hào)}.pem。
建議不要將平臺(tái)證書(shū)打包到二進(jìn)制文件中,而是將其作為系統(tǒng)運(yùn)行時(shí)所需數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中。由于證書(shū)不可變,可在商戶(hù)應(yīng)用程序中緩存證書(shū)對(duì)象,提高性能和可用性。
當(dāng)微信支付平臺(tái)證書(shū)過(guò)期或不再出現(xiàn)在平臺(tái)證書(shū)列表中時(shí),商戶(hù)系統(tǒng)應(yīng)及時(shí)移除過(guò)期證書(shū)或?qū)⑵錁?biāo)記為不可用,避免安全隱患。
# 及時(shí)更新平臺(tái)證書(shū)
商戶(hù)系統(tǒng)應(yīng)及時(shí)更新微信支付平臺(tái)證書(shū)。推薦以下兩種更新方式:
- 定時(shí)更新:定時(shí)獲取微信支付平臺(tái)證書(shū)。更新后,自動(dòng)將證書(shū)部署到生產(chǎn)環(huán)境中。
- 惰性加載:當(dāng)商戶(hù)應(yīng)用程序中無(wú)證書(shū)序列號(hào)對(duì)應(yīng)證書(shū)時(shí),調(diào)用API獲取對(duì)應(yīng)平臺(tái)證書(shū),并緩存以供驗(yàn)簽使用。惰性加載實(shí)現(xiàn)簡(jiǎn)單,但會(huì)增加處理耗時(shí)和重復(fù)下載,僅建議請(qǐng)求量較少、對(duì)用戶(hù)訪問(wèn)延時(shí)要求不高的商戶(hù)選用。
對(duì)于大多數(shù)商戶(hù),建議采用定時(shí)更新機(jī)制,因?yàn)樗梢源_保商戶(hù)系統(tǒng)始終使用最新的證書(shū)進(jìn)行驗(yàn)證簽名,同時(shí)避免在驗(yàn)簽過(guò)程中產(chǎn)生額外延時(shí)。定時(shí)更新機(jī)制適用于大多數(shù)場(chǎng)景,可以提高用戶(hù)體驗(yàn)。
無(wú)論采用何種方法,商戶(hù)系統(tǒng)應(yīng)自動(dòng)化獲取、更新并部署平臺(tái)證書(shū),如設(shè)置定時(shí)(每日)任務(wù)。這可降低證書(shū)更新時(shí)人為因素給商戶(hù)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。
若系統(tǒng)未自動(dòng)定時(shí)更新微信支付平臺(tái)證書(shū),則需暫停服務(wù)以手動(dòng)更新。可使用微信支付提供的平臺(tái)證書(shū)更換工具 (opens new window)協(xié)助完成。
# 中心式的證書(shū)服務(wù)
對(duì)于擁有多個(gè)應(yīng)用服務(wù)的商戶(hù),每個(gè)應(yīng)用服務(wù)需使用微信支付平臺(tái)證書(shū)以驗(yàn)證簽名或加密。我們建議采用中心式證書(shū)服務(wù)提供簽名驗(yàn)證,實(shí)現(xiàn)證書(shū)的集中管理和一致性。中心式證書(shū)服務(wù)具有以下優(yōu)點(diǎn):
- 便于維護(hù)和監(jiān)控:證書(shū)的獲取、更新和部署集中在一個(gè)服務(wù)中,便于維護(hù)和監(jiān)控。
- 邏輯一致:所有應(yīng)用服務(wù)都使用相同的驗(yàn)證邏輯,降低出錯(cuò)概率。
- 易于擴(kuò)展:當(dāng)需要添加新的應(yīng)用服務(wù)時(shí),無(wú)需單獨(dú)部署證書(shū),直接使用中心式證書(shū)服務(wù)即可。
盡管采用中心式證書(shū)服務(wù)可以簡(jiǎn)化證書(shū)管理和部署,但如果該服務(wù)出現(xiàn)故障,可能導(dǎo)致所有應(yīng)用服務(wù)無(wú)法驗(yàn)證簽名。因此,在實(shí)施此方式時(shí),請(qǐng)確保中心式證書(shū)服務(wù)具備高可用性和足夠的系統(tǒng)容量。
# 總結(jié)
- 驗(yàn)證簽名:務(wù)必驗(yàn)證微信支付的應(yīng)答和通知回調(diào)的消息簽名。
- 自動(dòng)化更新證書(shū):定期(如每日)自動(dòng)獲取、更新并部署微信支付平臺(tái)證書(shū),以確保商戶(hù)系統(tǒng)始終使用最新的證書(shū)進(jìn)行驗(yàn)證簽名。更新證書(shū)的頻率不需過(guò)于頻繁,建議以24小時(shí)為宜。
- 多證書(shū)支持:在微信支付更換平臺(tái)證書(shū)期間,商戶(hù)系統(tǒng)應(yīng)同時(shí)支持新舊證書(shū),并根據(jù)證書(shū)序列號(hào)選擇相應(yīng)證書(shū)進(jìn)行驗(yàn)證簽名。
- 合理存儲(chǔ)證書(shū):建議不要將平臺(tái)證書(shū)打包到二進(jìn)制文件中,而是將其作為系統(tǒng)運(yùn)行時(shí)所需數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中。同時(shí),確保證書(shū)存儲(chǔ)位置的安全性,防止未經(jīng)授權(quán)的訪問(wèn)。
- 證書(shū)緩存:由于證書(shū)不可變,可在商戶(hù)應(yīng)用程序中緩存證書(shū)對(duì)象,提高性能和可用性。
- 及時(shí)移除過(guò)期證書(shū):當(dāng)微信支付平臺(tái)證書(shū)過(guò)期或不再出現(xiàn)在平臺(tái)證書(shū)列表中時(shí),商戶(hù)系統(tǒng)應(yīng)及時(shí)移除過(guò)期證書(shū)或?qū)⑵錁?biāo)記為不可用,避免安全隱患。
- 監(jiān)控告警:建立證書(shū)更新、驗(yàn)證簽名和敏感信息加密等關(guān)鍵流程的監(jiān)控告警機(jī)制,以便在出現(xiàn)異常時(shí)及時(shí)發(fā)現(xiàn)并解決問(wèn)題。
- 日志審計(jì):記錄平臺(tái)證書(shū)相關(guān)操作和事件的日志,以便在出現(xiàn)問(wèn)題時(shí)進(jìn)行調(diào)查和排查。
- 安全培訓(xùn)與意識(shí):培訓(xùn)開(kāi)發(fā)人員和運(yùn)維人員,提高他們使用微信支付平臺(tái)證書(shū)的安全意識(shí),確保他們能夠遵循最佳實(shí)踐和安全策略。
- 業(yè)務(wù)連續(xù)性計(jì)劃:制定平臺(tái)證書(shū)相關(guān)的業(yè)務(wù)連續(xù)性計(jì)劃,以應(yīng)對(duì)證書(shū)過(guò)期后的意外和災(zāi)難情況,定期識(shí)別并修復(fù)潛在的技術(shù)債務(wù)和風(fēng)險(xiǎn),確保商戶(hù)系統(tǒng)的穩(wěn)定運(yùn)行。
