微信支付让你更换的“证书”到底是个什么鬼

最近很多微信商户都收到了这样的提示，微信证书要过期了，请相关开发人员提前进行更换，微信将于5月29日开始更换证书。如何理解呢，如果你对证书没啥概念，可以这么理解，比如以前的谍战片，微信服务器好比上线，第三方平台所用服务器好比下线。接头要对暗号，比如天王盖地虎，对应的接头暗号宝塔镇河妖，对上了才能开始通信，微信支付的https证书也是一样的作用。

不过这个接头暗号要out了，2018年8月23日就不能用了。微信得搞个新的暗号，天王盖地虎，对应的接头暗号改为小鸡炖蘑菇，并且于2018年5月29日开始使用新接头暗号，但是新的接头暗号，下面的人不知道啊，于是微信就通过群通知，新的接头暗号改了，请接头人员记住新暗号。

这个新暗号怎么才能到接头人的脑子里呢，这就需要开发者来把新的暗号告诉接头人，也就是更换第三方开发者平台的对应证书。

如果你是普通用户，这个更换跟你没啥关系，平台方会负责新证书的安装。如果你是第三方平台运营者，请再2018年5月29日前更换证书，这个主要是针对那些自主开发的第三方平台。

常见问题

Q2：什么是根证书？

A：权威机构用它的“私钥”来签发服务器证书。 与“私钥”相对应的是“公钥”，“公钥”被用来验证服务器证书的真实性。权威机构的公钥会被制作成证书，简称根证书。

Q3：根证书和API证书是同一个吗？

A：不是，两者没有关系。

根证书通常是内置在操作系统中，被用来校验微信支付域名及服务器的真实性。

在调用微信支付安全级别较高的接口（如：退款、企业付款等）时，才会使用到API证书，它是用来证实商户身份的。

Q4：微信支付为什么要更换服务器证书？

A：根证书存在有效期，根证书到期后无法继续用来校验服务器证书。因此在根证书到期前，微信支付申请了新的服务器证书，避免过期后商户调用微信支付API时出现问题，计划于2018年5月29日更换。

Q5：微信支付更换服务器证书需要商户配合做哪些事情？

A：仅需开发人员在调用微信支付API的服务器上，确认是否已部署用于验证微信支付新服务器证书的受信根证书。

如未部署，请按指引自行安装证书，不产生任何费用。

此外，商户使用的其它https证书不需要更换或者升级。

Q6：如果不验证，会影响下单/退款等功能吗？

A：大部分情况下，即使不验证根证书也不会影响下单、退款等功能。为了避免商户服务器上没有对应根证书的情况，建议商户仍然按照指引进行验证。

Q7：微信支付更换证书前，开发人员可以提前安装根CA证书吗？还是要微信支付更换后，再安装根CA证书？

A：需要提前安装。提前安装根证书不会影响商户正在使用的功能。

方式一：调用微信支付沙箱环境的API接口验证

API接口调用说明：

请求参数：

返回参数：

以下字段在return_code 为SUCCESS的时有返回。

当返回结果return_code为“SUCCESS”，说明当前客服端已支持DigCert证书，反之则需要根据安装证书部分的指引，升级证书。

方式二：绑定HOST，请求已部署新证书的微信支付API服务器

网络运营商

绑定IP

端口

注意事项：

建议商户在使用方式A验证后， 再使用方式B验证， 以确保交易不受影响

建议不要忽略服务器证书校验的错误， 避免受到中间人攻击

请确保验证环境和正式环境一致，需要使用相同的操作系统、开发语言、执行环境、SSL\TLS库等

随后我会提供验证所需要的代码和验证教程，

如果有需要，请关注公众号后续的推文