本文將介紹什么是商戶 API 私鑰、證書以及微信支付平臺(tái)證書,以及它們的獲取方法。
# 商戶 API 證書
商戶API證書是指由商戶申請的,包含商戶的商戶號(hào)、公司名稱、公鑰信息的證書。
微信支付 APIv3 使用由 證書授權(quán)機(jī)構(gòu)(Certificate Authority,簡稱CA)簽發(fā)的證書。商戶可以自行生成證書請求串,也可以下載微信支付證書工具生成證書請求串。提交證書請求串至商戶平臺(tái)后,即可獲得商戶 API 證書文件。請注意安全保存私鑰文件。
- 新接入商戶,請參考 什么是 API 證書?如何獲取 API 證書? (opens new window)
- 已經(jīng)接入并使用微信支付頒發(fā)證書的商戶,請參考 微信支付 API 證書升級(jí)指引(技術(shù)人員) (opens new window)。APIv3 不再支持微信支付頒發(fā)的證書。
注意
證書升級(jí)不會(huì)影響現(xiàn)有服務(wù)。微信支付頒發(fā)的證書將在升級(jí)后14天失效。請盡快用新證書替換服務(wù)器上的舊證書。
# 商戶 API 私鑰
商戶申請商戶 API 證書時(shí),證書工具會(huì)生成商戶私鑰,并保存在本地證書文件夾的文件 apiclient_key.pem 中。私鑰也可通過工具從商戶的 p12 證書中導(dǎo)出。請妥善保管好商戶私鑰文件。
提示
請勿將私鑰文件暴露在公共場合,如上傳至 GitHub 或?qū)⑵鋵懭肟蛻舳舜a等。
# 微信支付平臺(tái)證書
微信支付平臺(tái)證書是由 微信支付 負(fù)責(zé)申請和管理的,該證書包含了微信支付平臺(tái)的身份標(biāo)識(shí)和公鑰信息。
每位商戶都會(huì)分配到一個(gè)或多個(gè)微信支付平臺(tái)證書。在處理接口響應(yīng)或回調(diào)通知時(shí),商戶需要根據(jù)證書序列號(hào)選擇對(duì)應(yīng)的平臺(tái)證書,并使用其中的公鑰進(jìn)行簽名驗(yàn)證。
商戶可通過調(diào)用 獲取平臺(tái)證書列表 接口,獲取當(dāng)前可用的微信支付平臺(tái)證書。
警告
每個(gè)微信支付平臺(tái)證書的有效期為5年。在證書過期之前,微信支付將逐步使用新的平臺(tái)證書生成簽名。為了避免缺少對(duì)應(yīng)證書而驗(yàn)簽失敗,商戶系統(tǒng)需支持多個(gè)微信支付平臺(tái)證書,定期通過接口下載新證書并部署至服務(wù)器。請參閱我們的 證書更新指引 ,避免依賴人工更新證書,保證業(yè)務(wù)的連續(xù)運(yùn)轉(zhuǎn)。
# 聲明所使用的證書
為了確保安全性,請求和響應(yīng)的 HTTP 頭部都需要包含證書序列號(hào)。這有助于識(shí)別簽名或加密所使用的密鑰對(duì)和證書。以下是相關(guān)的詳細(xì)信息:
- 商戶簽名需使用商戶API證書私鑰。請將商戶API證書序列號(hào)放在請求HTTP頭部的
Authorization字段中的serial_no部分。 - 微信支付返回響應(yīng)內(nèi)容時(shí),商戶需使用微信支付平臺(tái)證書公鑰驗(yàn)證簽名。微信支付平臺(tái)證書序列號(hào)會(huì)包含在響應(yīng)HTTP頭部的
Wechatpay-Serial字段中。 - 在商戶請求中,若包含敏感信息,請使用微信支付平臺(tái)證書公鑰加密。同時(shí),將微信支付平臺(tái)證書序列號(hào)放在請求HTTP頭部的
Wechatpay-Serial字段中。
如需了解如何獲取商戶API證書的證書序列號(hào),請參閱如何查看證書序列號(hào)。
