背景介绍
微信支付使用HTTPS来保证通信安全, 在HTTPS服务器上部署了由权威机构签发的证书, 用于证明微信支付平台的真实身份。
商户与微信支付服务器通信前,商户需要往客户端的操作系统或者执行环境中部署权威机构的根CA证书,以便在调用微信支付API过程中, 验证服务器及域名的真实合法性。
因微信支付HTTPS服务器证书的根CA证书将于2018年8月23日到期失效,微信支付计划于2018年5月29日, 更换服务器证书。若你的服务器上没有部署新的根CA证书,将可能导致你的下单、退款等功能无法正常使用。
新的服务器证书由权威机构(DigiCert) 签发,部分操作系统和执行环境中已经内置了该根CA证书。 为了提升兼容性, 微信支付的服务器上部署了DigiCert的交叉证书, 所以客户端执行环境中包含以下两个根CA中的任意一个即可。
DigiCert根CA证书兼容性列表如下:
由于SSL/TLS协议有多种实现版本(OpenSSL, NSS, GnuTLS, JSSE, Schannel等),且在不同实现版本和操作系统中管理权威机构根CA证书的策略不一样,应用程序使用SSL/TLS的方法也存在差异。
为了确保微信支付更换服务证书后,不影响商户的正常交易。下面提供了两种方式供商户提前验证客户端是否支持了DigiCert的证书。
如你的验证结果为无影响,可忽略安装证书部分的内容。
方式一:调用微信支付沙箱环境的API接口验证微信支付已经将新的服务器证书部署到了沙箱域名(apitest.mch.weixin.qq.com), 由于服务器证书是支持多域名的,API域名(api.mch.weixin.qq.com)与沙箱域名(apitest.mch.weixin.qq.com)使用的是同一张证书。如果使用沙箱环境的接口能调用成功,通常表明客户端支持微信支付新的服务器证书。
API接口调用说明:请求Url | https://apitest.mch.weixin.qq.com/sandboxnew/pay/getsignkey |
---|---|
是否需要证书 | 是 |
请求方式 | POST |
请求格式 | XML |
字段名 | 字段 | 必填 | 示例值 | 类型 | 说明 |
---|---|---|---|---|---|
商户号 | mch_id | 是 | 1305638280 | String(32) | 微信支付分配的微信商户号 |
随机字符串 | nonce_str | 是 | 5K8264ILTKCH16CQ2502SI8ZNMTM67VS | String(32) | 随机字符串,不长于32位 |
签名 | sign | 是 | 5K8264ILTKCH16CQ2502SI8ZNMTM67VS | String(32) | 签名结果,详见签名生成算法 |
字段名 | 字段 | 必填 | 示例值 | 类型 | 说明 |
---|---|---|---|---|---|
返回状态码 | return_code | 是 | SUCCESS | String(16) | SUCCESS/FAIL |
返回信息 | return_msg | 否 | 签名失败 | String(128) | 返回信息,如非空,为错误原因 ,签名失败 ,参数格式校验错误 |
以下字段在return_code 为SUCCESS的时有返回。
字段名 | 字段 | 必填 | 示例值 | 类型 | 说明 |
---|---|---|---|---|---|
商户号 | mch_id | 是 | 1305638280 | String(32) | 微信支付分配的微信商户号 |
沙箱密钥 | sandbox_signkey | 否 | 013467007045764 | String(32) | 返回的沙箱密钥 |
当返回结果return_code为“SUCCESS”,说明当前客服端已支持DigCert证书,反之则需要根据安装证书部分的指引,升级证书。
商户可以根据不同的网络运营商, 为域名 api.mch.weixin.qq.com 配置以下HOST:
网络运营商 | 绑定IP | 端口 |
---|---|---|
电信 | 113.96.240.139 | 443 |
联通 | 157.255.180.139 | 443 |
其它(移动, 长城等) | 121.51.30.139 | 443 |
HOST环境可以访问的接口与正式环境完全一致,且真实生效, 商户验证前, 务必评估对业务的影响。 如果未配置以上HOST的话, 在2018年5月31日前,访问api.mch.weixin.qq.com时, 服务器依然返回老的GeoTrust证书。
如果可以正常访问api.mch.weixin.qq.com,说明客户端支持了DigCert证书,反之则需要根据安装证书部分的指引,升级证书。
注意事项:
◆ 建议商户在使用方式A验证后, 再使用方式B验证, 以确保交易不受影响
◆ 建议不要忽略服务器证书校验的错误, 避免受到中间人攻击
◆ 请确保验证环境和正式环境一致,需要使用相同的操作系统、开发语言、执行环境、SSL\TLS库等
如果你的服务器上没有内置DigiCert的根CA证书, 采用上面两种方式验证的过程中, 可能会碰到问题。需要你主动往操作系统或者执行环境的证书信任列表中,添加DigiCert的根证书。
为了提升兼容性, 微信支付的服务器上部署了DigiCert的交叉证书. 客户端的执行环境中需要安装(Baltimore CyberTrust Root.crt DigiCert Global Root CA.crt)中的任意一个, 即可。
DigiCert根CA证书兼容性列表如下:
权威机构根CA证书 | 证书序列号 | 证书有效期 | Windows兼容 | Java兼容 | 证书下载 |
---|---|---|---|---|---|
DigiCert Global Root CA | 08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a | 2006.11.10 - 2031.11.10 | Windows 7+ | 1.6.05及以上 | |
Baltimore CyberTrust Root CA | 02:00:00:b9 | 2000.5.13 - 2025.5.13 | Windows XP及以上 | 1.4.2及以上 |
下面针对几种主流的开发语言, 介绍如何安装新的根证书:
1.JAVAJava使用JSSE包中的信任管理器来校验远端服务器的证书是否合法, TrustStore文件中保存了根证书信任列表. JRE 1.4.2及以上版本自带的TrustStore文件(lib/security/cacerts)中均内置了DigiCert的根证书。
◆ 如果你使用的JRE版本为1.4.2及以上, 且使用默认的TrustStore文件(lib/security/cacerts), 通常不需要做额外配置, 就能支持新的服务器证书。
◆ 如果你使用的JRE版本低于1.4.2 , 或者在系统属性javax.net.ssl.trustStore中指定了自定义的TrustStore, 那么需要使用JAVA自带的证书管理工具 Keytool导入DigiCert的根证书. 具体的命令为:
2.C\C++使用C++开发的应用程序, 通常使用libcurl库发起https请求, libcurl支持多种SSL\TLS引擎, 如 OpenSSL, SChanel, NSS等。
更详细的内容,可参考:https://curl.haxx.se/docs/ssl-compared.html
◆使用OpenSSL时, 参考如下操作:
步骤一: 查看openssl根证书信任文件路径. 执行命令行 openssl version –a ,输出结果中的 OPENSSLDIR就是根证书信任文件路径
$ openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Mar 24 14:14:19 CST 2015
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: rdrand dynamic
步骤二: 按照验证证书的方式二配置host,然后使用以下命令行, 确认操作系统内置的根证书中, 是否支持DigiCert证书
$ openssl s_client -connect api.mch.weixin.qq.com:443 -verify_return_error -CApath $OPENSSLDIR
正常的输出为:
depth=3 C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root
verify return:1
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018
verify return:1
depth=0 C = CN, L = Shenzhen, O = Tencent Technology (Shenzhen) Company Limited, OU = R&D, CN = payapp.weixin.qq.com
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:/C=CN/L=Shenzhen/O=Tencent Technology (Shenzhen) Company Limited/OU=R&D/CN=payapp.weixin.qq.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
缺少DigiCert根证书时, 可能输出的错误信息为:
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify error:num=20:unable to get local issuer certificate
verify return:0
CONNECTED(00000003)
---
步骤三: 安装根证书。几种常见的linux发行版本的操作命令如下:
◆ 使用Schannel时, 参考如下操作:
Windows系统上的libcurl使用的TLS引擎是Schannel, 根证书的导入可以参考C#章节。
3.C#在windows服务器上的C#开发语言或者, 通常使系统自带Schannel(别名: Secure Channel 或者 WinSSL)发起HTTPS请求, 权威机构的根证书由Windows操作系统集中管理。
可通过以下步骤来确认操作系统中是否内置了根证书 :
步骤一: 打开mmc(在搜索程序中输入mmc,然后回车)进入如下界面:
步骤二: 在”文件”中选择 “添加/删除管理单元”:
步骤三: 在“添加/删除管理单元”中选择”证书”, 双击后选择 “计算机账户”和”本地计算机”:
选择证书, 点击添加:
步骤四: 点击完成后, 可以看到如下界面. 右键单击”受信任的根证书颁发机构”:
步骤五: 选中查找证书, 搜索”证书序列号”为“08 3b e0 56 90 42 46 b1 a1 75 6a c9 59 91 c7 4a” 或者” 02 00 00 b9” 如果有结果输出, 则表明操作系统中已经内置了DigiCert的根CA证书
如果操作系统中, 没有内置DigiCert根CA证书的话. 可以通过以下步骤安装:
步骤一:双击根证书文件,“安装证书”:
步骤二:在弹出证书导入向导中,如右图所示, 点击下一步:
步骤三:在“选择证书存储”对话框中选择“受信任的根证书颁发机构”,点击确定
步骤四:点击“完成”,系统提示”导入成功”。导入成功后, 可以按照前面介绍方法确认系统中DigiCert根证书
原文链接:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_4