API證書
API證書定義
API證書是用來證實(shí)商戶身份的,?證書中包含商戶號、證書序列號、證書有效期等信息,需要由證書授權(quán)機(jī)構(gòu)(Certificate Authority?,簡稱CA)簽發(fā),以防證書被偽造或篡改。
證書類型
根據(jù)頒發(fā)證書的CA類型,可以將API證書分為兩種:
(1)微信支付頒發(fā)的API證書——證書文件和私鑰文件可從商戶平臺直接下載。
(2)權(quán)威CA頒發(fā)的API證書——需下載證書工具生成證書請求串,并將證書請求串提交到商戶平臺后才能獲得證書文件,而私鑰文件只能通過證書工具導(dǎo)出。證書下載地址如下:
windows版本?:下載地址
mac版本?:下載地址
適用范圍
微信支付安全級別較高的接口(如:退款、企業(yè)紅包、企業(yè)付款)時,會使用到API證書。
API證書獲取流程
獲取API證書需要商戶號的超級管理員才能操作。
菜單路徑:商戶平臺->【賬戶中心】->【賬戶設(shè)置】->【API安全】。
詳細(xì)步驟如下:
?1、若頁面展示如下圖,表示你的證書類型為“微信支付頒發(fā)的API證書”,可點(diǎn)擊“下載證書”按鈕,并按頁面指引操作即可。
2、若頁面效果如下圖,表示你的證書類型為“權(quán)威CA頒發(fā)的API證書”,請點(diǎn)擊“申請證書”按鈕,并按以下指引完成證書申請。
2.1 步驟1 在【商戶平臺】-“提交請求串”環(huán)節(jié),點(diǎn)擊“下載證書工具”按鈕;
步驟2 下載并打開文件“WXCertUtil”后;
步驟3 在【證書工具】,點(diǎn)擊“申請證書”按鈕,如下圖:
2.2 在【證書工具】-“填寫商戶信息”環(huán)節(jié),填寫商戶號和商戶名稱后,點(diǎn)擊“下一步”按鈕,可在【商戶平臺】查看商戶號和商戶名稱;
2.3 步驟1 在【證書工具】-“復(fù)制請求串”環(huán)節(jié),點(diǎn)擊“復(fù)制”按鈕后;
步驟2 在【商戶平臺】-“提交請求串”環(huán)節(jié),在輸入框粘貼請求串;
步驟3 輸入“短信驗(yàn)證碼”和“登錄密碼”;
步驟4 點(diǎn)擊“下一步”進(jìn)入【商戶平臺】-“復(fù)制證書串”環(huán)節(jié)。
2.4 步驟1 在【商戶平臺】-“復(fù)制證書串”環(huán)節(jié),點(diǎn)擊“復(fù)制證書串”按鈕后;
步驟2 在【證書工具】-“復(fù)制請求串”環(huán)節(jié),點(diǎn)擊“下一步”按鈕進(jìn)入“粘貼證書串”環(huán)節(jié);
步驟3 在【證書工具】-“粘貼證書串”環(huán)節(jié),點(diǎn)擊“粘貼”按鈕后;
步驟4 點(diǎn)擊“下一步”按鈕,進(jìn)入【證書工具】-“生產(chǎn)證書”環(huán)節(jié)。
2.5 在【證書工具】-“生成證書”環(huán)節(jié),已完成申請證書流程,點(diǎn)擊“查看證書文件夾”,查看已生成的證書文件。
2.6 請將生成的證書文件轉(zhuǎn)交給技術(shù)人員,由技術(shù)人員將證書部署到服務(wù)器上。
重要提示: 請務(wù)必妥善保管證書及私鑰,因?yàn)樗借€文件只能通過證書工具導(dǎo)出,若私鑰丟失,則無法找回。(私鑰丟失了怎么辦?)
API證書續(xù)期
商戶API證書默認(rèn)期限為1年,到期后需要商戶執(zhí)行API證書續(xù)期操作才可以繼續(xù)使用商戶平臺的相關(guān)API接口。
續(xù)期處理方法:
1、登錄商戶平臺
2、證書即將到期:證書到期前60天,商戶平臺會發(fā)送短信及郵件、公眾號消息提醒商戶執(zhí)行
續(xù)期操作:
1)菜單路徑:商戶平臺?->?【賬戶中心】?->【 API安全】
2)頁面會有提示續(xù)期操作,點(diǎn)擊【續(xù)期證書】即可完成續(xù)期操作,續(xù)期后使用時間延長一年。
操作界面如下圖:
3)若證書已達(dá)5年使用時間,則頁面提示只能【更換證書】,無法再續(xù)期。
3、證書已過期:原有證書已過期的情況(在續(xù)期周期內(nèi)沒有執(zhí)行續(xù)期操作),過期當(dāng)天會有短信及郵件、公眾號消息提醒商戶已過期
1)菜單位置:商戶平臺?->?賬戶中心?-> API安全
2)過期一個月內(nèi),商戶可進(jìn)行【續(xù)期證書】,續(xù)期后使用時間延長一年。
3)過期時間超過一個月,則只能【更換證書】,新證書有效期為一年。
操作界面如下圖:
4、操作證書未安裝:
如提示操作證書未安裝,請先安裝操作證書。完成后,請返回【賬戶設(shè)置】->【API安全】完成證書續(xù)期,如下圖。
API證書升級指引(技術(shù)人員)
API證書定義
技術(shù)人員在調(diào)用微信支付安全級別較高的接口(如:退款、企業(yè)紅包、企業(yè)付款)時,會使用到API證書。
API證書的類型
1、API用來證實(shí)商戶身份的, 根據(jù)頒發(fā)證書的CA類型,可以將API證書分為兩種:
1)微信支付頒發(fā)的API證書。證書文件和私鑰文件可從商戶平臺直接下載。
2)權(quán)威CA頒發(fā)的API證書。需下載證書工具生成證書請求串,并將證書請求串提交到商戶平臺后才能獲得證書文件,而私鑰文件只能通過證書工具導(dǎo)出。
2、API證書區(qū)分方法:
使用證書解析工具,?查看證書內(nèi)容
3、證書區(qū)別
| 證書字段 | 微信支付頒發(fā)的API證書 | 權(quán)威CA頒發(fā)的API證書 |
|---|---|---|
| 證書頒發(fā)者 | MmpaymchCA | Tenpay.com Root CA |
| 證書序列號 | 小于20個字節(jié)的字符串 | 固定40字節(jié)的字符串 |
| 證書CN字段 | 商戶的公司名稱 | 商戶號,格式為8-10位數(shù)字 |
| 證書信任鏈 | 文件: CertTrustChainWX.p7b md5摘要:c91ddfb6e9f0533e9a78dcdc89ca1080 sha256摘要:c826a1c900d445c372fff25968988c002493688c491c8e66cc8276a17003a12e |
文件: CertTrustChain.p7b md5摘要:77e0db6559b07624f538b1acf4ad81ca sha256摘要:fc4ef43a7fb2b08263345453e56297daf998a5dac6c501b38eb2df18a55f6a13 |
FAQ
Q:為什么要升級API證書?
A:從2018年6月開始,微信支付開始推廣使用權(quán)威CA頒發(fā)的API證書,原微信支付頒發(fā)的證書可以直接升級為權(quán)威CA頒發(fā)的API證書。升級后的證書具有以下優(yōu)點(diǎn):
1、使用場景更廣:可用于退款接口、企業(yè)付款等需要雙向認(rèn)證的接口,以及加密傳輸敏感信息等接口中。
2、兼容性更好:更換證書后,老證書48小時內(nèi)有效,不會中斷業(yè)務(wù)。
Q:如何升級API證書?
A:商戶升級API證書時,需要完成三個步驟:
步驟1 商戶號的超級管理員到商戶平臺升級證書,獲取到權(quán)威CA頒發(fā)的API證書。 (查看指引)
步驟2 超級管理員將權(quán)威CA頒發(fā)的API證書(共包含三個文件: 證書pkcs12格式、證書pem格式、證書密鑰pem格式)轉(zhuǎn)交給技術(shù)人員。
步驟3 技術(shù)人員用新證書文件替換服務(wù)器上原微信支付頒發(fā)的API證書,無需對現(xiàn)有系統(tǒng)進(jìn)行代碼修改。
重要提示
升級為權(quán)威CA頒發(fā)的API證書后,微信支付頒發(fā)的API證書將在14天后失效。請務(wù)必盡快用新證書替換服務(wù)器上的老證書,以免影響線上交易。同時,請務(wù)必妥善保管證書及私鑰,因?yàn)樗借€文件只能通過證書工具導(dǎo)出,若私鑰丟失,則無法找回。(私鑰丟失了怎么辦?)
