关于微信支付服务器于2018年5月29日更换SSL数字证书

2018年3月14日微信支付团队向全部开发者或者支付帐户管理员发送了微信支付HTTPS服务器将于2018年5月29日更换服务器的SSL数字证书，若是商户平台所在的服务器过于老旧或者缺乏DigiCert根证书，届时将会致使接口支付通讯故障。
详细描述
原微信支付平台服务器的SSL数字证书由GeoTrust签发，在DigiCert并购Symantec数字证书业务以前，GeoTrust仍然是根签发机构，而在此以后，DigiCert将成为GeoTrust的根签发机构，这并不意味着GeoTrust和Symantec证书失去权威，DigiCert除了自有品牌外，其子品牌中函盖了Symantec, GeoTrust, Thawte, RapidSSL等多个品牌。根据微信支付给出的通告，微信支付将使用DigiCert签发的证书，则有可能采用DigiCert或子品牌中的一种，由于这些品牌的根证书都将是DigiCert。
更换证书缘由
对于根证书而言，其权威性不须要普通用户去作任何根证书导入操做，全部操做系统和执行环境中已经内置了该根CA证书，DigiCert Global Root CA和DigiCert High Assurance EV Root CA，具体前往下载：DigiCert证书下载（下载后可重命名文件），而部分老旧系统可能终年未更新，因此为了提高兼容性，微信建议对商户的服务器中操做系统进行根证书检查以及导入（如检查有可不导入）。

微信支付也强调，若因商户的服务器上没有部署新的根CA证书，将可能致使商户的下单、退款等功能没法正常使用，因此做为开发者和商户都应当重视这次安全调整。

微信提供证书下载：

权威机构根CA证书	证书序列号	证书有效期	Windows兼容	Java兼容	证书下载
DigiCert Global Root CA	08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a	2006.11.10 - 2031.11.10	Windows 7+	1.6.05及以上	PEM格式下载　　DER格式下载
Baltimore CyberTrust Root CA	02:00:00:b9	2000.5.13 - 2025.5.13	Windows XP及以上	1.4.2及以上	PEM格式下载　　 DER格式下载

检查及导入证书
在主流的操做系统中进行如下检查操做，如检查不成功则进行安装根证书

操做系统	操做	命令行
Ubuntu, Debian	查看根证书	确认操做系统上，是否存在如下文件 ＂/etc/ssl/certs/DigiCert_Global_Root_CA.pem＂ ＂/etc/ssl/certs/Baltimore_CyberTrust_Root.pem＂
Ubuntu, Debian	安装根证书	复制根证书文件到 /usr/local/share/ca-certificates/ 安装根证书: sudo update-ca-certificatx 更多的命令行参数及说明， 请查看: man update-ca-certificates
CentOs, Red Hat Enterprise Linux	查看根证书	确认/etc/pki/tls/certs/ca-bundle.crt文件中， 是否存在如下内容: DigiCert Global Root CA Serial Number: 08:3b:e0:56:90:42:46:b1:a1:75:6a:c9:59:91:c7:4a Baltimore CyberTrust Root Serial Number: 0x20000b9
CentOs, Red Hat Enterprise Linux	安装根证书	安装根证书管理包软件: yum install ca-certificates 打开根证书动态配置开关: update-ca-trust force-enable 将DigiCert的根证书文件复制到: /etc/pki/ca-trust/source/anchors/ 安装根证书: update-ca-trust extract 更多的命令行参数及说明， 请查看: man update-ca-trust)

重要提示：

以上表格来自微信支付，未对EV扩展型根证书进行导入，若是商户使用的是EV扩展型证书，将下载的DigiCert的EV扩展型根证书重命名为DigiCert_High_Assurance EV_Root_CA.pem，并进行检查及导入。

愿景
微信做为行业巨头，对接口通讯的安全极为重视，SSL/TLS数字证书的普及利益于此，对于本次微信支付的调整，微信给出了详细解决方案：微信支付HTTPS服务器证书验证指引