微信支付新服务器证书兼容性验证

1.商户如何核实服务器上是否已内置了G2根证书？

A：以Linux系统为例。Linux系统信任根证书库的保存位置因发行版本不同而有所差异：
Debian/Ubuntu：/etc/ssl/certs/ca-certificates.crt
CentOS/RHEL/Fedora/TencentOS：/etc/pki/tls/certs/ca-bundle.crt
商户可以使用以下命令来核实系统是否已内置了G2根证书：

grep “DigiCert Global Root” /etc/pki/tls/certs/ca-bundle.crt

DigiCert Global Root CA

DigiCert Global Root G2

备注：示例显示系统已内置了G1和G2根证书

2.验证指引
验证方式：绑定host，请求已部署新证书的微信支付服务器

商户可通过修改操作系统的hosts文件来绑定IP，例如，可在hosts文件中新增一行如下内容，实现将域名"api.mch.weixin.qq.com"绑定到新证书环境：
43.142.224.50 api.mch.weixin.qq.com

在linux系统下，hosts文件的完整路径为"/etc/hosts"，在Windows系统下，hosts文件的完整路径为"C:\Windows\System32\drivers\etc\hosts"。

3. 重启
   执行systemctl restart network

4.执行业务代码
执行业务代码是可以访问api.mch.weixin.qq.com的

5.恢复host配置

6.商户需在什么时候完成验证和修正？不验证会有什么影响？

A：商户应在2024年8月5日0:00之前完成验证和修正。如果商户侧系统的实现方式已能兼容新的服务器证书，那么不会影响业务；如果商户侧系统的实现方式不能兼容新的服务器证书，那么会导致商户的系统与微信支付的系统不能正常交互，影响业务。

7.如果商户无法按时完成兼容性修正，在微信支付灰度新证书时遇到异常应如何处理？

A：如果商户的系统经验证是不能兼容新证书的，商户应在2024年8月5日0:00之前完成修正。如果无法按时完成修正，我们可提供仍使用旧证书的临时环境，商户可通过host绑定IP的方式使用，以临时规避证书更换产生的影响。请务必在2024年11月30日0:00之前完成系统修正，并取消绑定临时环境IP，恢复以正常的方式对接微信支付的生产正式环境。

原文：https://developers.weixin.qq.com/community/develop/article/doc/0002284c6948c066ad919a2bc67813