2018年3月14日,微信支付团队向所有开发者或支付账号管理员发出消息,微信支付HTTPS服务器将关闭2018-05-29更换服务器SSL数字证书。如果商户平台所在的服务器太旧或缺少DigiCert根证书,会导致接口支付通信失败。详细说明原微信支付平台服务器的SSL数字证书是由GeoTrust签发的。在DigiCert收购赛门铁克的数字证书业务之前,GeoTrust仍然是根颁发者。之后,DigiCert将成为GeoTrust的根发行者。这并不意味着GeoTrust和Symantec证书失去了权威性。DigiCert的子品牌除了自有品牌外,还涵盖Symantec、GeoTrust、Thawte、RapidSSL等品牌。根据微信支付给出的通知,微信支付将使用DigiCert颁发的证书,并且有可能使用DigiCert或其子品牌之一,因为这些品牌的根证书都将是DigiCert。更换证书的原因对于根证书,其权限不需要普通用户做任何根证书的导入操作。所有操作系统和执行环境都内置了根CA证书,DigiCertGlobalRootCA和DigiCertHighAssuranceEVRootCA,具体去下载:DigiCert证书下载(下载后可以重命名文件),部分老系统可能多年未更新,为提高兼容性,微信建议在商户服务器勾选导入操作系统根证书(勾选则无法导入)。微信支付还强调,如果商户服务器未部署新的根CA证书,商户的下单、退款等功能可能无法正常使用,开发者和商户应注意此次安全调整。微信提供证书下载:权威根CA证书证书序列号证书有效期Windows兼容Java兼容证书下载DigiCertGlobalRootCA08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a2006.11.10-2031.11.10Windows7+1.6.05及以上PEM格式下载 DER下载BaltimoreCyber??TrustRootCA02:00:00:b92000.5.13-2025.5.13WindowsXP及以上1.4.2及以上下载上面的PEM格式 DER格式下载检查并导入证书在主流操作系统中进行以下检查,如果检查失败,安装根证书操作系统运行命令行Ubuntu,Debian检查根证书确认操作系统,是否存在以下文件"/etc/ssl/certs/DigiCert_Global_Root_CA.pem""/etc/ssl/certs/Baltimore_Cyber??Trust_Root.pem"在Ubuntu上安装根证书,Debian将根证书文件复制到/usr/local/share/ca-certificates/安装root证书:sudoupdate-ca-certificatx更多命令行参数和说明请看:manupdate-ca-certificatesCentOs,RedHatEnterpriseLinux检查根证书确认/etc/pki/tls/certs/ca-bundle。crt文件中是否存在以下内容:DigiCertGlobalRootCASerialNumber:08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4aBaltimoreCyber??TrustRootSerialNumber:0x20000b9CentOs,RedHatEnterpriseLinux安装根证书安装根证书管理包软件:yuminstallca-certificates开启根证书动态配置开关:update-ca-trustforce-enable将DigiCert的根证书文件复制到:/etc/pki/ca-trust/source/anchors/installrootcertificate:update-ca-trustextract更多命令行参数和说明请看:manupdate-ca-trust)导入证书。如果商户使用EV扩展证书,将下载的DigiCertEV扩展根证书重命名为DigiCert_High_AssuranceEV_Root_CA.pem,并勾选并导入Vision。微信作为行业巨头,非常重视接口通信的安全性,SSL/TLS数字证书的普及在这方面大有裨益。对于此次微信支付的调整,微信给出了详细的解决方案:微信支付HTTPS服务器证书验证指南
