大家在使用微信支付的时候，都会涉及一个东西，那就是商户证书，今天春哥在给客户调试一分钱红包系统的时候，涉及到商户证书的概念，今天春哥就给大家讲讲关于商户证书那些事。

（1）获取商户证书

微信支付接口中，涉及资金回滚的接口会使用到商户证书，包括退款、撤销接口。商家在申请微信支付成功后，收到的相应邮件后，可以按照指引下 载API证书，也可以按照以下路径下载：微信商户平台(pay.weixin.qq.com)-->账户设置-->API安全-->证书下载【在操作之前会提示安装操作证书】 。证书文件有四个，分别说明如下：

表4.2：证书文件说明

证书附件 描述 使用场景 备注 pkcs12格式
(apiclient_cert.p12、 包含了私钥信息的证书文件，为p12(pfx)格式，由微信支付签发给您用来标识和界定您的身份 撤销、退款申请API中调用 windows上可以直接双击导入系统，导入过程中会提示输入证书密码，证书密码默认为您的商户ID（如：10010000） 证书pem格式
（apiclient_cert.pem） 从apiclient_cert.p12中导出证书部分的文件，为pem格式，请妥善保管不要泄漏和被他人复制 PHP等不能直接使用p12文件，而需要使用pem，为了方便您使用，已为您直接提供 您也可以使用openssl命令来自己导出：openssl pkcs12 -clcerts -nokeys -in apiclient_cert.p12 -out apiclient_cert.pem 证书密钥pem格式
（apiclient_key.pem） 从apiclient_cert.p12中导出密钥部分的文件，为pem格式 PHP等不能直接使用p12文件，而需要使用pem，为了方便您使用，已为您直接提供 您也可以使用openssl命令来自己导出：openssl pkcs12 -nocerts -in apiclient_cert.p12 -out apiclient_key.pem CA证书
（rootca.pem） 微信支付api服务器上也部署了证明微信支付身份的服务器证书，您在使用api进行调用时也需要验证所调用服务器及域名的真实性 该文件为签署微信支付证书的权威机构的根证书，可以用来验证微信支付服务器证书的真实性 部分工具已经内置了若干权威机构的根证书，无需引用该证书也可以正常进行验证，这里提供给您在未内置所必须根证书的环境中载入使用

（2）使用商户证书

• ◆ apiclient_cert.p12是商户证书文件，除PHP外的开发均使用此证书文件。
• ◆ 商户如果使用.NET环境开发，请确认Framework版本大于2.0，必须在操作系统上双击安装证书apiclient_cert.p12后才能被正常调用。
• ◆ 商户证书调用或安装都需要使用到密码，该密码的值为微信商户号（mch_id）
• ◆ PHP开发环境请使用商户证书文件apiclient_cert.pem和apiclient_key.pem ，rootca.pem是CA证书。

（3）商户证书安全

证书文件不能放在web服务器虚拟目录，应放在有访问权限控制的目录中，防止被他人下载。商户服务器要做好病毒和木马防护工作，不被非法侵入者窃取证书文件。