關於微信支付服務器於2018年5月29日更換SSL數字證書

2018年3月14日微信支付團隊向全部開發者或者支付帳戶管理員發送了微信支付HTTPS服務器將於2018年5月29日更換服務器的SSL數字證書，若是商戶平臺所在的服務器過於老舊或者缺乏DigiCert根證書，屆時將會致使接口支付通訊故障。
詳細描述
原微信支付平臺服務器的SSL數字證書由GeoTrust簽發，在DigiCert併購Symantec數字證書業務以前，GeoTrust仍然是根簽發機構，而在此以後，DigiCert將成爲GeoTrust的根簽發機構，這並不意味着GeoTrust和Symantec證書失去權威，DigiCert除了自有品牌外，其子品牌中函蓋了Symantec, GeoTrust, Thawte, RapidSSL等多個品牌。根據微信支付給出的通告，微信支付將使用DigiCert簽發的證書，則有可能採用DigiCert或子品牌中的一種，由於這些品牌的根證書都將是DigiCert。
更換證書緣由
對於根證書而言，其權威性不須要普通用戶去作任何根證書導入操做，全部操做系統和執行環境中已經內置了該根CA證書，DigiCert Global Root CA和DigiCert High Assurance EV Root CA，具體前往下載：DigiCert證書下載（下載後可重命名文件），而部分老舊系統可能終年未更新，因此爲了提高兼容性，微信建議對商戶的服務器中操做系統進行根證書檢查以及導入（如檢查有可不導入）。

微信支付也強調，若因商戶的服務器上沒有部署新的根CA證書，將可能致使商戶的下單、退款等功能沒法正常使用，因此做爲開發者和商戶都應當重視這次安全調整。

微信提供證書下載：

權威機構根CA證書	證書序列號	證書有效期	Windows兼容	Java兼容	證書下載
DigiCert Global Root CA	08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a	2006.11.10 - 2031.11.10	Windows 7+	1.6.05及以上	PEM格式下載　　DER格式下載
Baltimore CyberTrust Root CA	02:00:00:b9	2000.5.13 - 2025.5.13	Windows XP及以上	1.4.2及以上	PEM格式下載　　 DER格式下載

檢查及導入證書
在主流的操做系統中進行如下檢查操做，如檢查不成功則進行安裝根證書

操做系統	操做	命令行
Ubuntu, Debian	查看根證書	確認操做系統上，是否存在如下文件 ＂/etc/ssl/certs/DigiCert_Global_Root_CA.pem＂ ＂/etc/ssl/certs/Baltimore_CyberTrust_Root.pem＂
Ubuntu, Debian	安裝根證書	複製根證書文件到 /usr/local/share/ca-certificates/ 安裝根證書: sudo update-ca-certificatx 更多的命令行參數及說明， 請查看: man update-ca-certificates
CentOs, Red Hat Enterprise Linux	查看根證書	確認/etc/pki/tls/certs/ca-bundle.crt文件中， 是否存在如下內容: DigiCert Global Root CA Serial Number: 08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a Baltimore CyberTrust Root Serial Number: 0x20000b9
CentOs, Red Hat Enterprise Linux	安裝根證書	安裝根證書管理包軟件: yum install ca-certificates 打開根證書動態配置開關: update-ca-trust force-enable 將DigiCert的根證書文件複製到: /etc/pki/ca-trust/source/anchors/ 安裝根證書: update-ca-trust extract 更多的命令行參數及說明， 請查看: man update-ca-trust)

重要提示：

以上表格來自微信支付，未對EV擴展型根證書進行導入，若是商戶使用的是EV擴展型證書，將下載的DigiCert的EV擴展型根證書重命名爲DigiCert_High_Assurance EV_Root_CA.pem，並進行檢查及導入。

願景
微信做爲行業巨頭，對接口通訊的安全極爲重視，SSL/TLS數字證書的普及利益於此，對於本次微信支付的調整，微信給出了詳細解決方案：微信支付HTTPS服務器證書驗證指引