SSL 證書申請

微信支付基於微信龐大的使用者基數，使用者黏性高、滲透力強，線上下消費場景中佔據優勢。微信支付使用HTTPS來保證通訊安全，同時也要求商戶伺服器確保資料傳輸安全。本文梳理了接入微信支付HTTPS 伺服器相關的常見問題。

1、為什麼微信支付伺服器預設HTTPS加密

微信支付預設使用HTTPS來保證通訊安全，商戶呼叫微信支付介面時必須使用HTTPS連線。微信支付伺服器安裝權威機構頒發的SSL證書，商戶呼叫微信支付API時，通過HTTPS加密傳輸資料，並通過微信支付伺服器SSL證書驗證微信支付伺服器身份。

2、為什麼商戶伺服器必須支援微信支付伺服器所使用的根證書？

權威證書頒發機構的根證書預置於各大作業系統、瀏覽器、移動端（如：沃通CA提供的品牌SSL證書），因此由權威根證書籤發的SSL證書能夠在各類伺服器和使用者端環境中受到信任，順利完成證書校驗過程、實現HTTPS連線。如果商戶伺服器環境被做過大量重新配置，預置的根證書丟失，會導致根證書不受信任，無法完成SSL證書驗證，出現下單、退款等功能無法使用的故障。因此，商戶需要自行驗證自己的伺服器是否預置了微信支付HTTPS伺服器所使用的根證書。

3、微信支付API證書的作用

商戶呼叫微信支付安全級別較高的介面（如：退款、企業紅包、企業付款）時，會使用到API證書，API證書用來證實商戶身份，證書中包含商戶號、證書序列號、證書有效期等資訊，需要由證書授權機構(Certificate Authority ，簡稱CA)簽發，以防證書被偽造或篡改。之前，微信支付僅提供平臺自籤的API證書。為了提高證書安全效能，2018年6月開始為商戶提供權威CA頒發的API證書，以代替原先微信支付平臺頒發的API證書及商戶API金鑰。目前，兩種API證書並行存在，但平臺自籤API證書會逐步廢棄。

（1）微信支付頒發的API證書——證書檔案和私鑰檔案可從商戶平臺直接下載。

（2）權威CA頒發的API證書——需下載證書工具生成證書請求串，並將證書請求串提交到商戶平臺後才能獲得證書檔案，而私鑰檔案只能通過證書工具匯出。

4、微信支付對商戶伺服器部署的要求

資料採集：法律禁止企業記錄和儲存的資料（如磁軌資訊、信用卡CVV碼等）不能收集；客戶端敏感資料必須先進行加密處理。

資料傳輸：商戶伺服器使用HTTPS確保網路傳輸安全性；禁用SSL等不安全協議和演算法，建議使用TLS1.2。

資料儲存：敏感資訊禁止出現在日誌中，如確實需要，需進行脫敏處理；快取和DB中的敏感資料需進行加密或者虛化（Hash）；密碼等關鍵認證必須採用加鹽Hash方式儲存。

沃通SSL證書由沃通CA與全球知名品牌合作簽發，嚴格遵循國際標準要求，支援Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、作業系統和移動終端，具備廣泛相容性，可用於微信支付、微信小程式、微信公眾號、企業微信等各類微信應用HTTPS伺服器搭建，以及SSL VPN裝置、iOS安卓APP等HTTPS伺服器搭建。