平台证书更换操作指引
更新时间:2024.12.20为了帮助商户平稳、高效地更换新旧平台证书,微信支付为商户提供了微信支付平台证书更换工具。本文面向商户开发者介绍如何使用平台证书更换工具,完成新旧证书的更换。
# 准备开始
商户开发者应仔细阅读 微信支付平台证书,了解平台证书的关键概念和更换机制,并遵循指引实现商户系统获取、使用、部署和更新平台证书等关键功能。
# 已支持多证书验签的商户
如果商户系统已经获取并部署了新旧证书,且支持根据微信支付 API 应答或通知回调 HTTP 头中的 Wechatpay-Serial
选择对应的平台证书验证签名。请参考以下步骤灰度更换平台证书。
# 步骤一:登录商户平台,进入平台证书管理
如下图所示,请登录微信支付商户平台,进入【账户中心-API安全-平台证书】,点击“管理证书”。
# 步骤二:启动灰度
如下图所示,请点击新平台证书旁的“启动灰度”按钮。
# 步骤三:选择灰度方式
平台证书更换工具提供了提供了两种灰度方式:
- 自动灰度:微信支付按照固定的节奏灰度更换新证书,于每周一和每周四的10:00逐步提升新证书签名的比例
- 手动灰度:商户开发者可自定义灰度比例,自行控制灰度进展
# 步骤四:验证使用新证书验签成功
启动灰度后,应立即观察监控和系统日志,确认商户系统收到了新证书的消息签名,并验证签名成功。
# 终止灰度
在灰度过程中,若商户系统出现验签失败等异常,请及时点击【终止灰度】,停止灰度。停止灰度后,微信支付将使用旧平台证书对应的私钥签名,商户使用旧平台证书验证签名。
# 仅支持部署一份平台证书的商户
若商户系统仅支持一份微信支付证书,且无开发能力实现多证书验签,则只能停止服务,“一次性”更换平台证书。
危险
该方法风险极高。一旦发生错误,可能导致商户业务长时间业务无法进行。商户应尽量避免使用。
当部署完新证书后,请商户开发者参考前一部分指引,执行以下步骤:
- 登录商户平台,进入【账户中心-API安全-平台证书】
- 点击“证书管理”,进入平台证书管理
- 点击已部署证书旁的“启动灰度”按钮,启动灰度
- 选择手动灰度,并跳过灰度,直接将灰度比例直接设置为100%。这时微信支付将全部使用新证书对应的私钥签名,商户须使用新证书验证签名。
# 如何修改新平台证书返回时间
为了帮助商户平稳、高效地更换新旧平台证书,微信支付会在旧平台证书过期前180天开始同时返回新证书和旧证书。如果商户系统无法及时处理多张证书,需要推迟下载接口返回新证书,以进行系统改造。
以下是具体操作步骤:
- 登录商户平台,进入【账户中心—API安全—平台证书】,点击“管理证书”
- 在平台证书页面,点击“下载证书接口管理”
- 在下载证书接口管理,修改新证书返回的时间,最晚可推迟到旧证书过期前的120天。