摘要:年月日微信支付團(tuán)隊(duì)向所有開(kāi)發(fā)者或者支付賬戶(hù)管理員發(fā)送了微信支付服務(wù)器將于年月日更換服務(wù)器的數(shù)字證書(shū)�����,如果商戶(hù)平臺(tái)所在的服務(wù)器過(guò)于老舊或者缺少根證書(shū)���,屆時(shí)將會(huì)導(dǎo)致接口支付通信故障。
2018年3月14日微信支付團(tuán)隊(duì)向所有開(kāi)發(fā)者或者支付賬戶(hù)管理員發(fā)送了微信支付HTTPS服務(wù)器將于2018年5月29日更換服務(wù)器的SSL數(shù)字證書(shū)��,如果商戶(hù)平臺(tái)所在的服務(wù)器過(guò)于老舊或者缺少DigiCert根證書(shū)���,屆時(shí)將會(huì)導(dǎo)致接口支付通信故障�。
詳細(xì)描述
原微信支付平臺(tái)服務(wù)器的SSL數(shù)字證書(shū)由GeoTrust簽發(fā)�����,在DigiCert并購(gòu)Symantec數(shù)字證書(shū)業(yè)務(wù)之前,GeoTrust仍然是根簽發(fā)機(jī)構(gòu)�����,而在此之后��,DigiCert將成為GeoTrust的根簽發(fā)機(jī)構(gòu)�����,這并不意味著GeoTrust和Symantec證書(shū)失去權(quán)威�,DigiCert除了自有品牌外,其子品牌中函蓋了Symantec, GeoTrust, Thawte, RapidSSL等多個(gè)品牌����。根據(jù)微信支付給出的通告,微信支付將使用DigiCert簽發(fā)的證書(shū)�����,則有可能采用DigiCert或子品牌中的一種���,因?yàn)檫@些品牌的根證書(shū)都將是DigiCert��。
更換證書(shū)原因
對(duì)于根證書(shū)而言�����,其權(quán)威性不需要普通用戶(hù)去做任何根證書(shū)導(dǎo)入操作��,所有操作系統(tǒng)和執(zhí)行環(huán)境中已經(jīng)內(nèi)置了該根CA證書(shū)�����,DigiCert Global Root CA和DigiCert High Assurance EV Root CA�����,具體前往下載:DigiCert證書(shū)下載(下載后可重命名文件)�����,而部分老舊系統(tǒng)可能長(zhǎng)年未更新�,所以為了提升兼容性���,微信建議對(duì)商戶(hù)的服務(wù)器中操作系統(tǒng)進(jìn)行根證書(shū)檢查以及導(dǎo)入(如檢查有可不導(dǎo)入)��。
微信支付也強(qiáng)調(diào)�,若因商戶(hù)的服務(wù)器上沒(méi)有部署新的根CA證書(shū)�,將可能導(dǎo)致商戶(hù)的下單���、退款等功能無(wú)法正常使用,所以作為開(kāi)發(fā)者和商戶(hù)都應(yīng)當(dāng)重視此次安全調(diào)整����。
微信提供證書(shū)下載:
| 權(quán)威機(jī)構(gòu)根CA證書(shū) |
證書(shū)序列號(hào) |
證書(shū)有效期 |
Windows兼容 |
Java兼容 |
證書(shū)下載 |
| DigiCert Global Root CA |
08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a |
2006.11.10 - 2031.11.10 |
Windows 7+ |
1.6.05及以上 |
PEM格式下載 DER格式下載
|
| Baltimore CyberTrust Root CA |
02:00:00:b9 |
2000.5.13 - 2025.5.13 |
Windows XP及以上 |
1.4.2及以上 |
PEM格式下載
DER格式下載
|
檢查及導(dǎo)入證書(shū)
在主流的操作系統(tǒng)中進(jìn)行以下檢查操作,如檢查不成功則進(jìn)行安裝根證書(shū)
| 操作系統(tǒng) |
操作 |
命令行 |
| Ubuntu, Debian |
查看根證書(shū) |
確認(rèn)操作系統(tǒng)上���,是否存在以下文件
"/etc/ssl/certs/DigiCert_Global_Root_CA.pem"
"/etc/ssl/certs/Baltimore_CyberTrust_Root.pem" |
| Ubuntu, Debian |
安裝根證書(shū) |
復(fù)制根證書(shū)文件到 /usr/local/share/ca-certificates/
安裝根證書(shū): sudo update-ca-certificatx
更多的命令行參數(shù)及說(shuō)明�����, 請(qǐng)查看: man update-ca-certificates |
| CentOs, Red Hat Enterprise Linux |
查看根證書(shū) |
確認(rèn)/etc/pki/tls/certs/ca-bundle.crt文件中���, 是否存在以下內(nèi)容:
DigiCert Global Root CA
Serial Number: 08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a
Baltimore
CyberTrust Root
Serial Number: 0x20000b9 |
| CentOs, Red Hat Enterprise Linux |
安裝根證書(shū) |
安裝根證書(shū)管理包軟件: yum install ca-certificates
打開(kāi)根證書(shū)動(dòng)態(tài)配置開(kāi)關(guān): update-ca-trust force-enable
將DigiCert的根證書(shū)文件復(fù)制到: /etc/pki/ca-trust/source/anchors/
安裝根證書(shū): update-ca-trust extract
更多的命令行參數(shù)及說(shuō)明, 請(qǐng)查看: man update-ca-trust) |
重要提示:
以上表格來(lái)自微信支付��,未對(duì)EV擴(kuò)展型根證書(shū)進(jìn)行導(dǎo)入�,如果商戶(hù)使用的是EV擴(kuò)展型證書(shū),將下載的DigiCert的EV擴(kuò)展型根證書(shū)重命名為DigiCert_High_Assurance EV_Root_CA.pem��,并進(jìn)行檢查及導(dǎo)入���。
愿景
微信作為行業(yè)巨頭�����,對(duì)接口通信的安全極為重視���,SSL/TLS數(shù)字證書(shū)的普及利益于此�����,對(duì)于本次微信支付的調(diào)整����,微信給出了詳細(xì)解決方案:微信支付HTTPS服務(wù)器證書(shū)驗(yàn)證指引
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/28466.html
