證書篇
API證書
API證書定義
API證書是用來(lái)證實(shí)商戶身份的,?證書中包含商戶號(hào)、證書序列號(hào)、證書有效期等信息,需要由證書授權(quán)機(jī)構(gòu)(Certificate Authority?,簡(jiǎn)稱CA)簽發(fā),以防證書被偽造或篡改。
證書類型
根據(jù)頒發(fā)證書的CA類型,可以將API證書分為兩種:
(1)微信支付頒發(fā)的API證書——證書文件和私鑰文件可從商戶平臺(tái)直接下載。
(2)權(quán)威CA頒發(fā)的API證書——需下載證書工具生成證書請(qǐng)求串,并將證書請(qǐng)求串提交到商戶平臺(tái)后才能獲得證書文件,而私鑰文件只能通過(guò)證書工具導(dǎo)出。證書下載地址如下:
windows版本?:
mac版本?:https://wx.gtimg.com/mch/files/WXCertUtilEn.dmg
適用范圍
微信支付安全級(jí)別較高的接口(如:退款、企業(yè)紅包、企業(yè)付款)時(shí),會(huì)使用到API證書。
API證書獲取流程
獲取API證書需要商戶號(hào)的超級(jí)管理員才能操作。
菜單路徑:商戶平臺(tái)->【賬戶中心】->【賬戶設(shè)置】->【API安全】。
詳細(xì)步驟如下:
?1、若頁(yè)面展示如下圖,表示你的證書類型為“微信支付頒發(fā)的API證書”,可點(diǎn)擊“下載證書”按鈕,并按頁(yè)面指引操作即可。
2、若頁(yè)面效果如下圖,表示你的證書類型為“權(quán)威CA頒發(fā)的API證書”,請(qǐng)點(diǎn)擊“申請(qǐng)證書”按鈕,并按以下指引完成證書申請(qǐng)。
2.1 步驟1 在【商戶平臺(tái)】-“提交請(qǐng)求串”環(huán)節(jié),點(diǎn)擊“下載證書工具”按鈕;
步驟2 下載并打開文件“WXCertUtil”后;
步驟3 在【證書工具】,點(diǎn)擊“申請(qǐng)證書”按鈕,如下圖:
2.2 在【證書工具】-“填寫商戶信息”環(huán)節(jié),填寫商戶號(hào)和商戶名稱后,點(diǎn)擊“下一步”按鈕,可在【商戶平臺(tái)】查看商戶號(hào)和商戶名稱;
2.3 步驟1 在【證書工具】-“復(fù)制請(qǐng)求串”環(huán)節(jié),點(diǎn)擊“復(fù)制”按鈕后;
步驟2 在【商戶平臺(tái)】-“提交請(qǐng)求串”環(huán)節(jié),在輸入框粘貼請(qǐng)求串;
步驟3 輸入“短信驗(yàn)證碼”和“登錄密碼”;
步驟4 點(diǎn)擊“下一步”進(jìn)入【商戶平臺(tái)】-“復(fù)制證書串”環(huán)節(jié)。
2.4 步驟1 在【商戶平臺(tái)】-“復(fù)制證書串”環(huán)節(jié),點(diǎn)擊“復(fù)制證書串”按鈕后;
步驟2 在【證書工具】-“復(fù)制請(qǐng)求串”環(huán)節(jié),點(diǎn)擊“下一步”按鈕進(jìn)入“粘貼證書串”環(huán)節(jié);
步驟3 在【證書工具】-“粘貼證書串”環(huán)節(jié),點(diǎn)擊“粘貼”按鈕后;
步驟4 點(diǎn)擊“下一步”按鈕,進(jìn)入【證書工具】-“生產(chǎn)證書”環(huán)節(jié)。
2.5 在【證書工具】-“生成證書”環(huán)節(jié),已完成申請(qǐng)證書流程,點(diǎn)擊“查看證書文件夾”,查看已生成的證書文件。
2.6 請(qǐng)將生成的證書文件轉(zhuǎn)交給技術(shù)人員,由技術(shù)人員將證書部署到服務(wù)器上。
重要提示: 請(qǐng)務(wù)必妥善保管證書及私鑰,因?yàn)樗借€文件只能通過(guò)證書工具導(dǎo)出,若私鑰丟失,則無(wú)法找回。(私鑰丟失了怎么辦?)
API證書續(xù)期
商戶API證書默認(rèn)期限為1年,到期后需要商戶執(zhí)行API證書續(xù)期操作才可以繼續(xù)使用商戶平臺(tái)的相關(guān)API接口。
續(xù)期處理方法:
2、證書即將到期:證書到期前60天,商戶平臺(tái)會(huì)發(fā)送短信及郵件、公眾號(hào)消息提醒商戶執(zhí)行
續(xù)期操作:
1)菜單路徑:商戶平臺(tái)?->?【賬戶中心】?->【 API安全】
2)頁(yè)面會(huì)有提示續(xù)期操作,點(diǎn)擊【續(xù)期證書】即可完成續(xù)期操作,續(xù)期后使用時(shí)間延長(zhǎng)一年。
操作界面如下圖:
3)若證書已達(dá)5年使用時(shí)間,則頁(yè)面提示只能【更換證書】,無(wú)法再續(xù)期。
3、證書已過(guò)期:原有證書已過(guò)期的情況(在續(xù)期周期內(nèi)沒(méi)有執(zhí)行續(xù)期操作),過(guò)期當(dāng)天會(huì)有短信及郵件、公眾號(hào)消息提醒商戶已過(guò)期
1)菜單位置:商戶平臺(tái)?->?賬戶中心?-> API安全
2)過(guò)期一個(gè)月內(nèi),商戶可進(jìn)行【續(xù)期證書】,續(xù)期后使用時(shí)間延長(zhǎng)一年。
3)過(guò)期時(shí)間超過(guò)一個(gè)月,則只能【更換證書】,新證書有效期為一年。
操作界面如下圖:
4、操作證書未安裝:
如提示操作證書未安裝,請(qǐng)先安裝操作證書。完成后,請(qǐng)返回【賬戶設(shè)置】->【API安全】完成證書續(xù)期,如下圖。
API證書升級(jí)指引(技術(shù)人員)
API證書定義
技術(shù)人員在調(diào)用微信支付安全級(jí)別較高的接口(如:退款、企業(yè)紅包、企業(yè)付款)時(shí),會(huì)使用到API證書。
API證書的類型
1、API用來(lái)證實(shí)商戶身份的, 根據(jù)頒發(fā)證書的CA類型,可以將API證書分為兩種:
1)微信支付頒發(fā)的API證書。證書文件和私鑰文件可從商戶平臺(tái)直接下載。
2)權(quán)威CA頒發(fā)的API證書。需下載證書工具生成證書請(qǐng)求串,并將證書請(qǐng)求串提交到商戶平臺(tái)后才能獲得證書文件,而私鑰文件只能通過(guò)證書工具導(dǎo)出。
2、API證書區(qū)分方法:
使用證書解析工具,?查看證書內(nèi)容
3、證書區(qū)別
| 證書字段 | 微信支付頒發(fā)的API證書 | 權(quán)威CA頒發(fā)的API證書 |
|---|---|---|
| 證書頒發(fā)者 | MmpaymchCA | Tenpay.com Root CA |
| 證書序列號(hào) | 小于20個(gè)字節(jié)的字符串 | 固定40字節(jié)的字符串 |
| 證書CN字段 | 商戶的公司名稱 | 商戶號(hào),格式為8-10位數(shù)字 |
| 證書信任鏈 | 文件: CertTrustChainWX.p7b md5摘要:c91ddfb6e9f0533e9a78dcdc89ca1080 sha256摘要:c826a1c900d445c372fff25968988c002493688c491c8e66cc8276a17003a12e |
文件: CertTrustChain.p7b md5摘要:77e0db6559b07624f538b1acf4ad81ca sha256摘要:fc4ef43a7fb2b08263345453e56297daf998a5dac6c501b38eb2df18a55f6a13 |
FAQ
Q:為什么要升級(jí)API證書?
A:從2018年6月開始,微信支付開始推廣使用權(quán)威CA頒發(fā)的API證書,原微信支付頒發(fā)的證書可以直接升級(jí)為權(quán)威CA頒發(fā)的API證書。升級(jí)后的證書具有以下優(yōu)點(diǎn):
1、使用場(chǎng)景更廣:可用于退款接口、企業(yè)付款等需要雙向認(rèn)證的接口,以及加密傳輸敏感信息等接口中。
2、兼容性更好:更換證書后,老證書48小時(shí)內(nèi)有效,不會(huì)中斷業(yè)務(wù)。
Q:如何升級(jí)API證書?
A:商戶升級(jí)API證書時(shí),需要完成三個(gè)步驟:
步驟1 商戶號(hào)的超級(jí)管理員到商戶平臺(tái)升級(jí)證書,獲取到權(quán)威CA頒發(fā)的API證書。 (查看指引)
步驟2 超級(jí)管理員將權(quán)威CA頒發(fā)的API證書(共包含三個(gè)文件: 證書pkcs12格式、證書pem格式、證書密鑰pem格式)轉(zhuǎn)交給技術(shù)人員。
步驟3 技術(shù)人員用新證書文件替換服務(wù)器上原微信支付頒發(fā)的API證書,無(wú)需對(duì)現(xiàn)有系統(tǒng)進(jìn)行代碼修改。
重要提示
升級(jí)為權(quán)威CA頒發(fā)的API證書后,微信支付頒發(fā)的API證書將在14天后失效。請(qǐng)務(wù)必盡快用新證書替換服務(wù)器上的老證書,以免影響線上交易。同時(shí),請(qǐng)務(wù)必妥善保管證書及私鑰,因?yàn)樗借€文件只能通過(guò)證書工具導(dǎo)出,若私鑰丟失,則無(wú)法找回。(私鑰丟失了怎么辦?)
API 密鑰
API密鑰定義
商戶調(diào)用微信支付API時(shí),要按照指定規(guī)則對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行簽名。服務(wù)器收到請(qǐng)求后會(huì)進(jìn)行簽名驗(yàn)證,從而界定商戶的身份并防止其他人惡意篡改請(qǐng)求數(shù)據(jù)。簽名的計(jì)算規(guī)則中,使用到的key就是API密鑰。
注意:API密鑰屬于敏感信息,請(qǐng)妥善保管不要泄露,如果懷疑信息泄露,請(qǐng)重設(shè)密鑰。
API密鑰設(shè)置
設(shè)置API密鑰需要商戶號(hào)的超級(jí)管理員才能操作,詳細(xì)步驟如下:
1、登錄微信支付商戶平臺(tái),進(jìn)入【賬戶設(shè)置】->【API安全】->【API密鑰】中設(shè)置。
2、彈框中點(diǎn)擊“確認(rèn)”
3、證書區(qū)別
4、密鑰設(shè)置成功
APIv3密鑰
APIv3密鑰定義
微信支付APIv3的下載平臺(tái)證書接口以及回調(diào)通知中,為防止報(bào)文被他人其他人惡意篡改,服務(wù)器會(huì)對(duì)數(shù)據(jù)進(jìn)行加密。商戶收到報(bào)文后,要解密出明文,解密過(guò)程中用的key就是APIv3密鑰。
【重要提示】
1、APIv3密鑰屬于敏感信息,請(qǐng)妥善保管不要泄露,如果懷疑信息泄露,請(qǐng)重設(shè)密鑰。
2、APIv3密鑰與API密鑰是隔離的,設(shè)置該密鑰時(shí),不會(huì)導(dǎo)致API密鑰發(fā)生變化。
APIv3密鑰設(shè)置
設(shè)置APIv3密鑰需要商戶號(hào)的超級(jí)管理員才能操作,詳細(xì)步驟如下:
1、登錄微信支付商戶平臺(tái),進(jìn)入【賬戶設(shè)置】->【API安全】->【APIv3密鑰】中設(shè)置。
2、輸入要設(shè)置的密鑰、短信驗(yàn)證碼和操作密碼。
3、密鑰設(shè)置成功
