使用支付宝"公钥证书"签名方式的注意事项-PHP

简介

在接入支付宝单笔转账接口alipay.fund.trans.toaccount.transfer的时候,返回结果总是isv.invalid-alipay-root-cert-sn

根据支付宝文档 https://docs.open.alipay.com/291/106098/

使用公钥证书签名方式下, 请求参数中需要携带应用公钥证书SN(app_cert_sn)、支付宝根证书SN(alipay_root_cert_sn)

具体的计算规则如下:

解析X.509证书文件,获取证书签发机构名称(name)以及证书内置序列号(serialNumber)。
将name与serialNumber拼接成字符串,再对该字符串做MD5计算。

但这里有一个关键的地方就是serialNumber,可能存在以0x开头的十六进制数据,要将其转换为对应的十进制数据才能使用。

php证书openssl_x509_parse解析案例

环境php-fpm 7.2, OpenSSL 1.1.0j

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Array
(
    [name] => commonName
    ......
    [issuer] => Array
        (
            [C] => CN
            [O] => iTrusChina
            [OU] => China Trust Network
            [CN] => iTrusChina Class 2 Root CA - G3
        )
    ......
    [version] => 2
    [serialNumber] => 0x10C764E9D560384212D9C08FD10E373FDD0FB396
    [serialNumberHex] => 10C764E9D560384212D9C08FD10E373FDD0FB396
    ......
)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Array
(
    [name] => commonName
    ......
    [issuer] => Array
        (
            [C] => CN
            [O] => Ant Financial
            [OU] => Certification Authority
            [CN] => Ant Financial Certification Authority Class 2 R1
        )
    ......
    [version] => 2
    [serialNumber] => 42665449584817792426466611783596028984
    [serialNumberHex] => 20191112E5F3E6DE44BECAD385A8B438
    ......
)

解决

一、php手册中hexdec的注释中的方法:

1
2
3
4
5
6
7
8
9
function bchexdec($hex) {
    $dec = 0;
    $len = strlen($hex);
    for ($i = 1; $i <= $len; $i++) {
        $dec = bcadd($dec, bcmul(strval(hexdec($hex[$i - 1])), bcpow('16', strval($len - $i))));
    }
    return $dec;
}
echo bchexdec('0x10C764E9D560384212D9C08FD10E373FDD0FB396');

二、或使用 gmp扩展:

1
2
$num = gmp_init('0x10C764E9D560384212D9C08FD10E373FDD0FB396');
echo gmp_strval($num, 10);

完整方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
// 大数十六进制转十进制字符串表示
function bchexdec($hex) {
    $dec = 0;
    $len = strlen($hex);
    for ($i = 1; $i <= $len; $i++) {
        $dec = bcadd($dec, bcmul(strval(hexdec($hex[$i - 1])), bcpow('16', strval($len - $i))));
    }
    return $dec;
}
// 索引数组反转拼接 k3=v3,k2=v2,k1=v1
function issuersToString($issuers){
	$issuer_arr = [];
	foreach ($issuers as $key => $val) {
		$issuer_arr[] = $key . '=' . $val;
	}
	return implode(',', array_reverse($issuer_arr));
}
// 生成应用证书SN
function getCertSN($certPath) {
	$cert = file_get_contents($certPath);
	$certdata = openssl_x509_parse($cert);
	// 支付宝应用公钥应当可以不要下面的分支逻辑
	// 需要检查是否为十六进制
	if (strpos($certdata['serialNumber'], '0x') === 0) {
		// 转换十进制表示
		$serialNumber = bchexdec($certdata['serialNumber']);
	} else {
		$serialNumber = $certdata['serialNumber'];
	}
	// 拼装issuser串
	$issuer = issuersToString($certdata['issuer']);
	return md5($issuer . $serialNumber);
}
// 生成支付宝根证书SN
function getRootCertSN($certPath) {
	// 读取证书内容
	$cert = file_get_contents($certPath);
	$split_str = "-----END CERTIFICATE-----";
	// 证书链分割为多个证书部分
	$cert_parts = explode($split_str, $cert);
	$md5_arr = [];
	foreach ($cert_parts as $part) {
		if (!empty(trim($part))) {
			// 完整结构表示
			$cert = $part . $split_str;
			$certdata = openssl_x509_parse($cert);
			// 仅检查 signatureTypeSN='RSA-SHA256', 'RSA-SHA1'
			// 或者检查 signatureTypeLN='sha256WithRSAEncryption','sha1WithRSAEncryption'
			if (in_array($certdata['signatureTypeSN'], ['RSA-SHA256', 'RSA-SHA1'])) {
				// 需要检查是否为十六进制
				// 例如 CN=iTrusChina Class 2 Root CA - G3 证书的serialNumber则为0x开头
				if (strpos($certdata['serialNumber'], '0x') === 0) {
					// 转换十进制表示
					$serialNumber = bchexdec($certdata['serialNumber']);
				} else {
					$serialNumber = $certdata['serialNumber'];
				}
				// 拼装issuser串
				$issuer = issuersToString($certdata['issuer']);
				// 追加每个证书serialNumber结果
				$md5_arr[] = md5($issuer . $serialNumber);
			}
		}
	}
	// 最后使用 _ 连接
	return implode('_', $md5_arr);
}