微信支付HTTPS服务器常见问题

SSL 证书申请 

微信支付基于微信庞大的用户基数，用户黏性高、渗透力强，在线下消费场景中占据优势。微信支付使用HTTPS来保证通信安全，同时也要求商户服务器确保数据传输安全。本文梳理了接入微信支付HTTPS 服务器相关的常见问题。

1、为什么微信支付服务器默认HTTPS加密

微信支付默认使用HTTPS来保证通信安全，商户调用微信支付接口时必须使用HTTPS连接。微信支付服务器安装权威机构颁发的 SSL证书，商户调用微信支付API时，通过HTTPS加密传输数据，并通过微信支付服务器SSL证书验证微信支付服务器身份。

2、为什么商户服务器必须支持微信支付服务器所使用的根证书？

权威证书颁发机构的根证书预置于各大操作系统、浏览器、移动端（如：沃通CA提供的品牌SSL证书），因此由权威根证书签发的SSL证书能够在各类服务器和用户端环境中受到信任，顺利完成证书校验过程、实现HTTPS连接。如果商户服务器环境被做过大量重新配置，预置的根证书丢失，会导致根证书不受信任，无法完成SSL证书验证，出现下单、退款等功能无法使用的故障。因此，商户需要自行验证自己的服务器是否预置了微信支付HTTPS服务器所使用的根证书。

3、微信支付API证书的作用

商户调用微信支付安全级别较高的接口（如：退款、企业红包、企业付款）时，会使用到API证书，API证书用来证实商户身份，证书中包含商户号、证书序列号、证书有效期等信息，需要由证书授权机构(Certificate Authority ，简称CA)签发，以防证书被伪造或篡改。之前，微信支付仅提供平台自签的API证书。为了提高证书安全性能，2018年6月开始为商户提供权威CA颁发的API证书，以代替原先微信支付平台颁发的API证书及商户API密钥。目前，两种API证书并行存在，但平台自签API证书会逐步废弃。

（1）微信支付颁发的API证书——证书文件和私钥文件可从商户平台直接下载。

（2）权威CA颁发的API证书——需下载证书工具生成证书请求串，并将证书请求串提交到商户平台后才能获得证书文件，而私钥文件只能通过证书工具导出。

4、微信支付对商户服务器部署的要求

数据采集：法律禁止企业记录和存储的数据（如磁道信息、信用卡CVV码等）不能收集；客户端敏感数据必须先进行加密处理。

数据传输：商户服务器使用HTTPS确保网络传输安全性；禁用SSL等不安全协议和算法，建议使用TLS1.2。

数据保存：敏感信息禁止出现在日志中，如确实需要，需进行脱敏处理；缓存和DB中的敏感数据需进行加密或者虚化（Hash）；密码等关键认证必须采用加盐Hash方式保存。

沃通SSL证书由沃通CA与全球知名品牌合作签发，严格遵循国际标准要求，支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端，具备广泛兼容性，可用于微信支付、微信小程序、微信公众号、企业微信等各类微信应用HTTPS服务器搭建，以及SSL VPN设备、iOS安卓APP等HTTPS服务器搭建。