平台证书更换操作指引
更新时间:2024.12.04为了帮助商户平稳、高效地更换新旧平台证书,微信支付为商户提供了微信支付平台证书更换工具。本文面向商户开发者介绍如何使用平台证书更换工具,完成新旧证书的更换。
准备开始
(1)商户开发者应仔细阅读 平台证书简介及使用说明,了解平台证书的关键概念和更换机制,并遵循指引实现商户系统获取、使用、部署和更新平台证书等关键功能。
(2)以下所有的操作应当在贵司技术人员的指导下进行,需要先将技术人员配置为安全联系人,配置方法参考如何设置安全联系人
已支持多证书验签的商户
如果商户系统已经获取并部署了新旧证书,且支持根据微信支付 API 应答或通知回调 HTTP 头中的 Wechatpay-Serial 选择对应的平台证书验证签名。请参考以下步骤灰度更换平台证书。
步骤一:登录商户平台,进入平台证书管理
如下图所示,请登录微信支付商户平台,进入【账户中心-API安全-平台证书】,点击“管理证书”。
步骤二:启动灰度
如下图所示,请点击新平台证书旁的“启动灰度”按钮。
步骤三:选择灰度方式
平台证书更换工具提供了提供了两种灰度方式:
自动灰度:微信支付按照固定的节奏灰度更换新证书,于每周一和每周四的10:00逐步提升新证书签名的比例
手动灰度:商户开发者可自定义灰度比例,自行控制灰度进展,最低支持设置0.01%
灰度比例可以从小比例调整为大比例,但不可以反向从大比例调成小比例。例如可以从1%调整成10%,但不能从10%调整成1%。如若在测试期间需要从大比例调整成小比例,可以先终止灰度,再重启灰度。当你重启灰度时,灰度比例默认值将重置为0%,你可手动调节比例。
步骤四:验证使用新证书验签成功
启动灰度后,应立即观察监控和系统日志,确认商户系统收到了新证书的消息签名,并验证签名成功。
终止灰度
在灰度过程中,若商户系统出现验签失败等异常,请及时点击【终止灰度】,停止灰度。停止灰度后,微信支付将使用旧平台证书对应的私钥签名,商户使用旧平台证书验证签名。
仅支持部署一份平台证书的商户
若商户系统仅支持一份微信支付证书,且无开发能力实现多证书验签,则只能停止服务,“一次性”更换平台证书。
|
当部署完新证书后,请商户开发者参考前一部分指引,执行以下步骤:
登录商户平台,进入【账户中心-API安全-平台证书】
点击“证书管理”,进入平台证书管理
点击已部署证书旁的“启动灰度”按钮,启动灰度
选择手动灰度,并跳过灰度,直接将灰度比例直接设置为100%。这时微信支付将全部使用新证书对应的私钥签名,商户须使用新证书验证签名。
如何修改新平台证书返回时间
为了帮助商户平稳、高效地更换新旧平台证书,微信支付会在旧平台证书过期前180天开始同时返回新证书和旧证书。如果商户系统无法及时处理多张证书,需要推迟下载接口返回新证书,以进行系统改造。
以下是具体操作步骤:
1.登录商户平台,进入【账户中心—API安全—平台证书】,点击“管理证书”
2.在平台证书页面,点击“下载证书接口管理”
3.在下载证书接口管理,修改新证书返回的时间,最晚可推迟到旧证书过期前的120天。
