微信支付HTTPS服务器常见问题( 二 )_微信支付基于微信庞大的用户基数

3、微信支付API证书的作用

商户调用微信支付安全级别较高的接口（如：退款、企业红包、企业付款）时，会使用到API证书， API证书用来证实商户身份，证书中包含商户号、证书序列号、证书有效期等信息，需要由证书授权机构(Certificate Authority ，简称CA)签发，以防证书被伪造或篡改。之前，微信支付仅提供平台自签的API证书。为了提高证书安全性能， 2018年6月开始为商户提供权威CA颁发的API证书，以代替原先微信支付平台颁发的API证书及商户API密钥。目前，两种API证书并行存在，但平台自签API证书会逐步废弃。

（1）微信支付颁发的API证书——证书文件和私钥文件可从商户平台直接下载。

（2）权威CA颁发的API证书——需下载证书工具生成证书请求串，并将证书请求串提交到商户平台后才能获得证书文件，而私钥文件只能通过证书工具导出。

4、微信支付对商户服务器部署的要求

数据采集：法律禁止企业记录和存储的数据（如磁道信息、信用卡CVV码等）不能收集；客户端敏感数据必须先进行加密处理。