微信支付 java 证书怎么修改

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了微信支付 java 证书怎么修改相关的知识,希望对你有一定的参考价值。

参考技术A 用支付公司的接口,应该这些都会帮忙调试好的,而且会根据您产品的情况,一下输出您所需要的所有支付方式

企业支付开发基础 | 微信支付 | 支付安全(证书/秘钥/签名)

文章目录

一、微信支付

1.微信支付介绍和接入指引

微信支付商户平台:
https://pay.weixin.qq.com/

微信支付本身没有收费,但是在支付后有一点的费率,详情看:

1.1、付款码支付

用户展示微信钱包内的“付款码”给商家,商家扫描后直接完成支付,适用于线下面对面收银的场景。

1.2、JSAPI支付

线下场所:商户展示一个支付二维码,用户使用微信扫描二维码后,输入需要支付的金额,完成支
付。
公众号场景:用户在微信内进入商家公众号,打开某个页面,选择某个产品,完成支付。
PC网站场景:在网站中展示二维码,用户使用微信扫描二维码,输入需要支付的金额,完成支
付。
特点:用户在客户端输入支付金额

1.3、小程序支付

在微信小程序平台内实现支付的功能。

1.4、Native支付

Native支付是指商户展示支付二维码,用户再用微信“扫一扫”完成支付的模式。这种方式适用于PC网
站。
特点:商家预先指定支付金额

1.5、APP支付

商户通过在移动端独立的APP应用程序中集成微信支付模块,完成支付。

1.6、刷脸支付

用户在刷脸设备前通过摄像头刷脸、识别身份后进行的一种支付方式。

2.证书/秘钥/签名

2.1、获取商户号

微信商户平台:https://pay.weixin.qq.com/
场景:Native支付
步骤:提交资料 => 签署协议 => 获取商户号

2.2、获取APPID

微信公众平台:https://mp.weixin.qq.com/
步骤:注册服务号 => 服务号认证 => 获取APPID => 绑定商户号


2.3、获取API2秘钥

APIv2版本的接口需要此秘钥
步骤:登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 设置API密钥

2.4、获取APIv3秘钥

APIv3版本的接口需要此秘钥
步骤:登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 设置APIv3密钥
随机密码生成工具:https://suijimimashengcheng.bmcx.com/

2.5、申请商户API证书

APIv3版本的所有接口都需要;APIv2版本的高级接口需要(如:退款、企业红包、企业付款等)
步骤:登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 申请API证书

点击管理证书可查看证书序列号

2.6、获取微信平台证书

可以预先下载,也可以通过编程的方式获取。

二、支付安全(证书/秘钥/签名)

1、信息安全的基础 - 机密性

明文: 加密前的消息叫“明文”(plain text)
密文: 加密后的文本叫“密文”(cipher text)
密钥: 只有掌握特殊“钥匙”的人,才能对加密的文本进行解密,这里的“钥匙”就叫做“密钥”(
key)

“密钥”就是一个字符串,度量单位是“位”(bit),比如,密钥长度是 128,就是 16 字节的二
进制串

加密: 实现机密性最常用的手段是“加密”(encrypt)

按照密钥的使用方式,加密可以分为两大类:对称加密和非对称加密。

解密: 使用密钥还原明文的过程叫“解密”(decrypt)
加密算法: 加密解密的操作过程就是“加密算法”

所有的加密算法都是公开的,而算法使用的“密钥”则必须保密

  • 密钥的度量单位是位 bit,如,秘钥长度128,就是16字节的二进制串
  • 按照密钥的使用方式,加密可以分为两大类:对称加密和非对称加密

2、对称加密与非对称加密

2.1 对称加密

  • AES加密算法,密钥长度128、192或256,安全强度很高,性能很好
  • 加密分组模式:将明文分组加密,微信支付中使用 AEAD_AES_256_GCM

2.2 非对称加密

  • 使用公钥加密后只能用私钥解密,反过来,私钥加密后也只能用公钥解密
  • RSA加密算法:最著名的非对称加密算法

2.3 对称加密与非对称加密

  • 对称加密
    • 特点:只使用一个密钥,密钥必须保密,常用的有 AES算法
    • 优点:运算速度快
    • 缺点:秘钥需要信息交换的双方共享,一旦被窃取,消息会被破解,无法做到安全的密钥交
  • 非对称加密
    • 特点:使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,常用的有 RSA
    • 优点:黑客获取公钥无法破解密文,解决了密钥交换的问题
    • 缺点:运算速度非常慢
  • 混合加密
    • 实际场景中把对称加密和非对称加密结合起来使用。

3、身份认证

Bob有两把钥匙(公钥和私钥),公钥给他的朋友们,私钥自己保留。我们规定:Bob用一把来加密数据,那么只有使用另外一把才能解密数据。

举例:Susan需要写一个信给Bob,信的内容要保密(这里使用Bob的公钥进行加密),Bob收到信以后使用自己私钥解密就可以读取信的内容。这里只要Bob的私钥不泄露信的内容就是安全的。信件即使落在别人的手里,也没办法被解密。所以在这里,任何人都可以写一封加密的信给Bob。
在这里假设:Bob收到信后也想给Sucan回一封加密的信。该怎么处理呢?
这里我们想到Susan也要拥有自己的公钥和私钥,然后将自己的公钥分发给他的朋友们。自己保留私钥。
那么,Bob可以使用Susan的公钥将加密的信件发给Susan。Susan要读取信的内容就需要用自己的私钥解密来读取信的内容。

上面举例的都是用公钥加密,私钥解密。如果我们这时将公钥和私钥的用法反过来。
就变成了私钥加密,公钥解密。
例如Bob写一封信给Sucan,他用自己的私钥对这封信进行了加密。可是因为Bob所有的朋友们都拥有他的公钥。他们都能够解密Bob的信,所以我们发现私钥加密,公钥解密。其实并不是为了加密。

Bob使用自己的私钥进行加密,Susan必须使用Bob的公钥才能对信件进行解密。因此Sucan能够确认的是这封信确实是由Bob发出的。而不是别人。因为Sucan使用的是Bob的公钥进行的解密。那么加密方一定用了Bob的私钥进行加密。我们可以确定加密人一定是Bob。
得出以下结论:

  • 公钥加密,私钥解密的作用是加密信息
  • 私钥加密,公钥解密的作用是身份认证

4、摘要算法(Digest Algorithm)


摘要算法就是我们常说的散列函数、哈希函数(Hash Function),它能够把任意长度的数据“压缩”成 固定长度、而且独一无二的“摘要”字符串,就好像是给这段数据生成了一个数字“指纹”。
作用
保证信息的完整性
特性
不可逆:只有算法,没有秘钥,只能加密,不能解密
难题友好性:想要破解,只能暴力枚举
发散性:只要对原文进行一点点改动,摘要就会发生剧烈变化
抗碰撞性:原文不同,计算后的摘要也要不同
常见摘要算法
MD5、SHA1、SHA2(SHA224、SHA256、SHA384)

5、数字签名

数字签名是使用私钥对摘要加密生成签名,需要由公钥将签名解密后进行验证,实现身份认证和不可否认
签名和验证签名的流程
举例:现在Bob给Pat写一封信,信的内容不需要加密,但是要保证Pat收到信之后。能够确认信的内容是没有被篡改过的,也就是保证信息的完整性。我们利用摘要运算,第一步Bob写完信后先用摘要算法生成信件原文的摘要(Message Digest)。第二步Bob将摘要附在信件的下面,一起发送给Pat。
Pat收到信以后之后。第一步Pat使用和Bob一样的摘要算法加密信件的原文得到信件的摘要。第二步Pat将加密后的摘要和Bob在原文中附加的摘要做一下对比。如果一直说明信件没被篡改。这种方式看似解决了数据完整性的问题。但是有一个致命的漏洞,如果信件被黑客截获,并且修改了信件的原文根据原文生成了新的摘要。然后附加在原文下面,伪装成Bob的信件发送给Pat。Pat接收到以后是完全无法察觉信件被篡改了。所以说摘要算法不具有机密性。如果明文传输,黑客可以截获后把摘要也改了。还是没有办法鉴别出信息传输的完整性。

结合前面的知识,加入秘钥确保信息的机密性。第一步,Bob写完信后先用摘要算法生成信件的摘要。第二步,Bob使用自己的私钥将摘要加密,加密后的结果我们称为数字签名。Bob将数字签名附在信的原文下面一起发给Pat。
Pat收信以后也是三个步骤,第一个步骤Pat取下数字签名。用Bob的公钥进行解密得到信件的摘要。第二个步骤Pat使用和Bob一样的加密算法加密信件的原文,得到信件的摘要。第三个步骤Pat将前面两部得到的摘要进行对比。如果一致信件就是Bob发的,并且是没有被篡改了,这个过称我们称为验签。就是验证前面的意思。

通过上面案例,我们发现即使黑客修改了信件的原文,并且通过加密算法生成新的摘要。但是因为没有Bob的私钥因此就无法对摘要进行加密。无法生成只能有Bob生成的签名。所以信就无法被篡改了。
微信支付的签名和验签就是这个原理。

6、数字证书

Doug将自己的公钥发送给Pat。并且谎称这就是Bob的公钥,实际Pat拥有的是Doug的公钥。因此Doug就可以冒充,要用自己的私钥做成数字签名写信给Pat。Pat用假的到那个公钥进行验签,验签是可以成功的。Pat只能误以为是Bob的东西,但其实Doug。
这个场景呢就相当于你误以为和微信支付的服务器进行通信。但实际上是在和黑客通讯。所以这里有一个公钥信任的问题,其实谁都可以发布公钥,所以我们还缺少一个防止黑客伪造公钥的手段。

怎么解决这个公钥就是Bob的呢,这个问题的答案就是数字证书 。一个证书包含很多的信息。
公钥: 为了防止Bob的公钥被伪造,公钥不采用直接发布的形式了。它会被放在数字证书中。如果是Bob的数字证书。Bob的公钥机会被包含在这个数字证书里面。
所有者: 这里指的是证书的申请者,一般是某个人或者是某个公司/机构,或者是某个公司的网址域名。刚刚描述的场景当中所有者就是Bob。
颁发者: 数字证书要由一个第三方的机构来颁发。这个第三方机构就是CA,也就是证书认证机构。CA具有极高的可信度,由它来给各个公钥进行签名。用自身信誉来保证公钥没有被伪造。
有效期: 证书的有效期限,过了有效期证书就不能再被使用,需要重新申请。
签名哈希算法: 其实就是摘要算法。为了防止证书被篡改,CA在颁发的时候,根据指定的摘要算法计算证书的摘要。有时候也要证书的指纹。将证书的指纹也放在证书里。指纹的目的就是保证证书的完整性、不可篡改性。
签名算法: 确保证书是由CA颁发的
序列号: 证书的唯一标识。

CA为Bob颁发数字证书的流程:首次CA用数字证书中指定的Hash算法,根据证书信息计算证书的摘要,也就是证书的指纹。然后CA根据证书当中的签名算法用CA自己的私钥将摘要进行加密,生成证书的签名。最后把签名和证书的基本信息一起发布。Bob就得到了一个数字证书。

Bob拿到数字证书以后再给Pat写信,只要在签名的同时再附上数字证书就可以了。

Pat收到信以后第一件事就是将数字证书取出来。接着对数字证书中的证书签名进行验证。流程和签名的验签流程是类似的。Pat用证书信息中指定的Hash算法根据证书信息计算整个证书的摘要。并且使用CA的公钥从数字证书的签名中解析出数字证书的摘要,将两个摘要进行比较。如果两个摘要一直就说明验签是通过的,如果验签通过了,Pat就可以在数字证书中获取Bob的公钥了。因为在数字证书中指定了证书的所有者,这样Doug就没有办法伪造数字证书了,因为他向CA申请数字证书的时候必须提供真实的身份,CA也会对身份进行核实。
经过签名的步骤,我们可以确认,Pat拿到的Bob的公钥是真实的。接下来需要使用Bob的公钥对信件的签名进行验证。跟签名一样,需要使用Hash算法计算信件的摘要,然后用刚刚从数字证书中得到的Bob的公钥对信件的签名进行解密。得到信件的摘要。接下来将两个摘要进行比较。如果一致则验签通过。
经过一些列的步骤我们可以就可以确认和Pat通讯的一定是Bob,并且消息也没有被篡改过。这时Pat就可以放心的读取信件的内容了。

数字证书解决“公钥的信任”问题,可以防止黑客伪造公钥。
不能直接分发公钥,公钥的分发必须使用数字证书,数字证书由CA颁发
https协议中的数字证书:

7、微信APIv3证书

商户证书
商户API证书是指由商户申请的,包含商户的商户号、公司名称、公钥信息的证书。
商户证书在商户后台申请:https://pay.weixin.qq.com/index.php/core/cert/api_cert#/

平台证书(微信支付平台):
微信支付平台证书是指由微信支付 负责申请的,包含微信支付平台标识、公钥信息的证书。商户可以使
用平台证书中的公钥进行验签。
平台证书的获取:https://pay.weixin.qq.com/wiki/doc/apiv3/wechatpay/wechatpay3_0.shtml

8、API密钥和APIv3密钥

都是对称加密需要使用的加密和解密密钥,一定要保管好,不能泄露。
API密钥对应V2版本的API
APIv3密钥对应V3版本的API

以上是关于微信支付 java 证书怎么修改的主要内容,如果未能解决你的问题,请参考以下文章

微信支付证书在哪里

Java中的微信支付:API V3 微信平台证书的获取与刷新

php微信支付服务商退款要下载啥证书

java 微信退款 怎么获取out

微信小程序怎么修改支付方式

微信小程序怎么开通支付功能?