微信支付 V3 接口涉及到多个密钥，以及安全概念。这里帮大家做了一个梳理。

V3 接口涉及的密钥概念

参考：私钥和证书

商户 API 证书

用途：用于调用所有 V3 接口；

含义：包含商户号，公司名称，商户公钥信息

获取方法：有财务老师在微信商户后台申请。【通过微信提供的工具，填入商户号，公司名称等进行申请】

商户 API 私钥

用途：签名

获取方法：在申请商户 API 证书时，申请工具会生成该私钥。

APIv3 密钥

用途：特定接口（通知，平台证书下载）结果信息中，关键敏感信息的解密

获取方法：商户自定义（32字节），然后配置到商户后台。

注意：该密钥与商户API私钥没有任何关系，设置该密钥也不会导致商户API私钥失效。

微信支付平台证书

用途：响应和通知的验签，敏感信息加密

注意：由于微信存在多个平台证书，我们需要根据序列号，采取对应证书内的公钥来验签

含义：包含微信支付平台的身份信息，商户公钥信息

获取方法：调用接口

主要安全流程

签名

调用微信支付平台v3 API 时，需要使用商户 API 私钥对请求报文进行 SHA-256 with RSA 签名。【签名信息存放于头中】

参考：如何生成请求签名

验签

微信支付平台会对其响应报文，以及通知报文进行 SHA-256 with RSA 签名。作为商户，需要使用微信支付平台证书内的公钥，对签名进行验签。

参考：如何验证签名

敏感信息加解密

商户请求微信：商户使用微信支付平台证书公钥，对敏感信息进行 RSA 公钥加密。

微信返回结果：商户使用商户 API 私钥，对响应的敏感信息密文进行 RSA 解密。

参考：如何加解密敏感信息

平台证书与通知报文解密

针对两个特殊场景【微信平台证书获取接口】，【通知】：我们使用 APIv3 密钥基于 AES-256-GCM 做对称加解密。

参考：如何解密证书和回调报文

国密

为了支持国家信息安全的号召，微信是可以提供支持国密SM2/3/4的v3接口交互的。商户可联系微信技术支持申请。

参考：国家商用密码简介