一、商家api证书和平台证书

• “商户证书”是指由商户申请的，包含商户的商户号、公司名称、公钥信息的证书。

• ”平台证书”是指由微信支付负责申请的，包含微信支付平台标识、公钥信息的证书。

私钥加密，公钥解密 是一种身份认证的具体实现。

商户在调用微信API时候，用自身的私钥签名，微信支付使用商户证书中的公钥来验签。
微信支付在响应的报文中使用自身的私钥签名，商户使用平台证书中的公钥来验签。

1.商户API证书

API证书，是指由商户申请的，用来证实商户身份的证书。
API证书由证书授权机构Certificate Authority（简称CA）颁发。
证书中包含商户的商户号、公司名称、公钥等信息。请妥善保管API证书文件，防止泄露。

使用场景

APIv2 中，调用微信支付安全级别较高的接口（如：退款、企业红包、企业付款）
APIv3 中，调用微信支付所有接口

为什么微信支付API v3要用第三方CA的证书？

主要是为了符合监管的要求，保证更高的安全级别。

《中华人民共和国电子签名法》、《金融电子认证规范》及
《非银行支付机构网络支付业务管理办法》中规定 “电子签名需要第三方认证的，
由依法设立的电子认证服务提供者提供认证服务。”，

所以需使用第三方 CA 来确保数字证书的唯一性、完整性及交易的不可抵赖性。

详细说明

API证书说明指引：kf.qq.com/faq/161222N…

平台证书说明指引：wechatpay-api.gitbook.io/wechatpay-a…