证书
更新时间:2024.11.15 | ●调用“下载平台证书接口”,返回:SIGN_ERROR, Authorization不合法 |
请根据以下几点排查: |
| ●为什么境外机构号重置证书后,旧的证书依然可以调用v2接口使用? |
境外机构号重置证书后,旧的证书依然可以调用v2接口使用的原因: |
| ●支付API证书升级工具,在Mac下使用官方的生成工具,未在指定目录找到证书文件是什么原因? |
目前只有windows版本支持,建议在window7以上系统使用。 |
| ●平台证书获取并解密后,进行敏感字段加密时,java代码提示invalid key format |
这个是在读取证书获取公钥时有问题,需要检查使用的类在新版本jdk中是否deprecated的,如jdk9中是deprecated的。 |
| ●如何查看证书序列号? |
登录商户平台【account settings】->【API security】->【API certificate】,可查看商户API证书序列号。  1$ openssl x509 -in 1900009191_20180326_cert.pem -noout -serial 2serial=1DDE55AD98ED71D6EDD4A4A16996DE7B47773A8C 3 |
| ●如何在程序中加载证书? |
推荐使用微信支付提供的SDK。你也可以查看下列编程语言的示例代码。 JAVA 1/** 2 * 获取证书。 3 * 4 * @param filename 证书文件路径 (required) 5 * @return X509证书 6 */ 7public static X509Certificate getCertificate(String filename) throws IOException { 8 InputStream fis = new FileInputStream(filename); 9 BufferedInputStream bis = new BufferedInputStream(fis); 10 11 try { 12 CertificateFactory cf = CertificateFactory.getInstance("X509"); 13 X509Certificate cert = (X509Certificate) cf.generateCertificate(bis); 14 cert.checkValidity(); 15 return cert; 16 } catch (CertificateExpiredException e) { 17 throw new RuntimeException("证书已过期", e); 18 } catch (CertificateNotYetValidException e) { 19 throw new RuntimeException("证书尚未生效", e); 20 } catch (CertificateException e) { 21 throw new RuntimeException("无效的证书文件", e); 22 } finally { 23 bis.close(); 24 } 25} 26 PHP 1 2/** 3* Read certificate from file 4* 5* @param string $filepath PEM encoded X.509 certificate file path 6* 7* @return resource|bool X.509 certificate resource identifier on success or FALSE on failure 8*/ 9public static function getCertificate($filepath) { 10 return openssl_x509_read(file_get_contents($filepath));} 11
|
| ●为什么平台证书只提供API下载? |
主要是为了确保在更换平台证书时,不影响商户使用微信支付的各种功能。以下场景中,微信支付会更换平台证书:
|
| ●为什么平台证书下载接口返回的平台证书需要加密? |
主要是为了防御“中间人攻击”。 由于验证应答报文的签名和加密敏感信息时,必须使用到平台证书。平台证书是商户认证微信支付身份时最关键的要素。因此,要通过签名和加密等多重机制来保障商户获取到的平台证书没有被“中间人”篡改。 商户在调用下载接口获取平台证书时,应进行以下四步操作,以保证证书的真实性:
|
| ●如何通过证书信任链验证平台证书? |
下面介绍如何使用openssl工具,通过证书信任链验证平台证书。 首先,从微信支付商户平台下载平台证书信任链 CertTrustChain.p7b ,并将它转换为pem证书格式。 1openssl pkcs7 -print_certs -in CertTrustChain.p7b -inform der -out CertTrustChain.pem 2 然后, 1openssl verify -verbose -CAfile ./CertTrustChain.pem ./WeChatPayPlatform.pem 2 |
| ●为什么报错“HTTP header缺少微信支付平台证书序列号(Wechatpay-Serial)”? |
商户上送敏感信息时使用了微信支付平台公钥加密。为了能使用正确的密钥解密,微信支付要求商户在请求的HTTP头部中包括证书序列号 ,以声明加密所用的密钥对和平台证书。详见私钥和证书的说明。 |
