商户的证书用于V3版本的加密

平台的证书和秘钥用于解密 用于验证微信返回的应答签名

（不验证就不安全了）



https://wechatpay-api.gitbook.io/wechatpay-api-v3/qian-ming-zhi-nan-1/qian-ming-yan-zheng

签名验证

商户可以按照下述步骤验证应答或者回调的签名。

如果验证商户的请求签名正确，微信支付会在应答的HTTP头部中包括应答签名。我们建议商户验证应答签名。

同样的，微信支付会在回调的HTTP头部中包括回调报文的签名。商户必须 验证回调的签名，以确保回调是由微信支付发送。

获取平台证书

微信支付API v3使用微信支付 的平台私钥（不是商户私钥 ）进行应答签名。相应的，商户的技术人员应使用微信支付平台证书中的公钥验签。目前平台证书只提供API进行下载，请参考 获取平台证书列表。

我也想搞明白。首先静态二维码收款是不需要用到的证书的,一定是开发的时候才会用到。

目前估计：

1. 发起支付：发起下单不需要商户私钥，调起支付需要私钥去签名，需要秘钥后才能解密回调通知。

2.发起退款：发起退款看参数好像不需要私钥去签名，但是应该是要用到的。需要秘钥后才能解密回调通知。

关于证书，官方就说清楚了：

使用场景

APIv2 中，调用微信支付安全级别较高的接口（如：退款、企业红包、企业付款）

APIv3 中，调用微信支付所有接口

平台证书用于加密，任何接口都要用到。

那商户api证书序列号 什么时候能用到。我看了文档 加签的时候，没有说用到证书系列号。或者是我没有看明白。谢谢

证书里可以提取出公钥，主要是两个场景。

一是验证响应或回调数据的签名的，防止 HTTP 报文被中间人篡改。当然了这步是可选的，你也可以偷懒不做。

二是用于加密部分接口要求加密的字段。

如果只收款的话、并且你不验证第一点里提到的回调签名，那就用不到。