为了帮助商户平稳、高效地更换新旧平台证书，微信支付为商户提供了微信支付平台证书更换工具。本文面向商户开发者介绍如何使用平台证书更换工具，完成新旧证书的更换。

准备开始

商户开发者应仔细阅读 微信支付平台证书，了解平台证书的关键概念和更换机制，并遵循指引实现商户系统获取、使用、部署和更新平台证书等关键功能。

已支持多证书验签的商户

如果商户系统已经获取并部署了新旧证书，且支持根据微信支付 API 应答或通知回调 HTTP 头中的 Wechatpay-Serial 选择对应的平台证书验证签名。请参考以下步骤灰度更换平台证书。

步骤一：登录商户平台，进入平台证书管理

如下图所示，请登录微信支付商户平台，进入【账户中心-API安全-平台证书】，点击“管理证书”。

步骤二：启动灰度

如下图所示，请点击新平台证书旁的“启动灰度”按钮。

步骤三：选择灰度方式

平台证书更换工具提供了提供了两种灰度方式：

• 自动灰度：微信支付按照固定的节奏灰度更换新证书，于每周一和每周四的10:00逐步提升新证书签名的比例
• 手动灰度：商户开发者可自定义灰度比例，自行控制灰度进展

步骤四：验证使用新证书验签成功

启动灰度后，应立即观察监控和系统日志，确认商户系统收到了新证书的消息签名，并验证签名成功。

终止灰度

在灰度过程中，若商户系统出现验签失败等异常，请及时点击【终止灰度】，停止灰度。停止灰度后，微信支付将使用旧平台证书对应的私钥签名，商户使用旧平台证书验证签名。

仅支持部署一份平台证书的商户

若商户系统仅支持一份微信支付证书，且无开发能力实现多证书验签，则只能停止服务，“一次性”更换平台证书。

危险

该方法风险极高。一旦发生错误，可能导致商户业务长时间业务无法进行。商户应尽量避免使用。

当部署完新证书后，请商户开发者参考前一部分指引，执行以下步骤：

1. 登录商户平台，进入【账户中心-API安全-平台证书】
2. 点击“证书管理”，进入平台证书管理
3. 点击已部署证书旁的“启动灰度”按钮，启动灰度
4. 选择手动灰度，并跳过灰度，直接将灰度比例直接设置为100%。这时微信支付将全部使用新证书对应的私钥签名，商户须使用新证书验证签名。

如何修改新平台证书返回时间

为了帮助商户平稳、高效地更换新旧平台证书，微信支付会在旧平台证书过期前180天开始同时返回新证书和旧证书。如果商户系统无法及时处理多张证书，需要推迟下载接口返回新证书，以进行系统改造。

以下是具体操作步骤：

1. 登录商户平台，进入【账户中心—API安全—平台证书】，点击“管理证书”
2. 在平台证书页面，点击“下载证书接口管理”
3. 在下载证书接口管理，修改新证书返回的时间，最晚可推迟到旧证书过期前的120天。