Apple Pay PHP后端证书过期需五步解决:一更新商家身份证书;二轮换付款处理证书;三刷新域名绑定验证;四校准服务器时间;五检查OpenSSL兼容性与证书链完整性。
如果您在使用 Apple Pay 的 PHP 后端服务时遭遇证书过期问题,将导致付款处理失败、签名验证中断或与 Apple Pay 服务器的通信被拒绝。以下是针对 PHP 环境下 Apple Pay 相关证书过期的多种可行解决方法:
一、更新商家身份证书(Merchant Identity Certificate)
商家身份证书用于在服务器端验证与 Apple Pay 服务器之间的 TLS 连接,其过期将直接中断 Apple Pay JS 初始化或支付授权请求。该证书由开发者账户生成,需手动更新并重新部署至 PHP 服务环境。
1、登录 Apple Developer Account,进入“Certificates, Identifiers & Profiles” > “Certificates” 页面。
2、定位到类型为 Merchant Identity Certificate 的证书,点击右侧“Revoke”撤销当前证书(不可编辑,仅可替换)。
立即学习“PHP免费学习笔记(深入)”;
3、点击“+”新建证书,选择 Apple Pay Merchant Identity Certificate,按向导上传 CSR 文件(可使用 OpenSSL 在 PHP 服务器上生成)。
4、下载生成的 .cer 文件,使用 OpenSSL 转换为 PEM 格式:
openssl x509 -in merchant_identity.cer -inform DER -out merchant_identity.pem -outform PEM
5、将 merchant_identity.pem 替换 PHP 项目中调用 Apple Pay 接口所引用的证书路径,并重启 Web 服务(如 Nginx/Apache)及 PHP-FPM 进程。
二、轮换付款处理证书(Payment Processing Certificate)
付款处理证书用于加密 Apple Pay 返回的 paymentToken 中的敏感数据(如 DPAN、expiry、cryptogram),PHP 后端需使用其私钥解密。该证书有效期为 25 个月,过期后将无法解密新交易,但不影响已解密数据的后续处理。
1、在开发者账户“Certificates”页中,找到类型为 Payment Processing Certificate 的证书,执行撤销操作。
2、创建新证书时,必须使用与原证书相同的 Merchant Identifier(如 merchant.com.example),否则 Apple 将拒绝签名验证。
3、下载新证书(.p12 格式),通过以下命令提取私钥与证书 PEM 文件:
openssl pkcs12 -in payment_processing.p12 -clcerts -nokeys -out payment_cert.pem
openssl pkcs12 -in payment_processing.p12 -nocerts -nodes -out payment_key.pem
4、确认 PHP 代码中调用 openssl_decrypt() 或 Apple Pay SDK 时指向的 payment_key.pem 和 payment_cert.pem 已更新,并校验文件权限(如 600)防止泄露。
三、刷新 Apple Pay JS 前端依赖的域名绑定状态
即使 PHP 后端证书已更新,若注册的商家域(如 https://pay.example.com)未通过 Apple 的域名所有权验证,Apple Pay JS 初始化仍会失败并报错“invalid_merchant_domain”。该状态与证书本身无关,但常被误判为证书问题。
1、访问开发者账户“Certificates, Identifiers & Profiles” > “Identifiers” > 选择对应 Merchant ID,检查“Domains”列表中目标域名是否显示为 Verified。
2、若状态为 Pending 或 Invalid,需确保该域名根目录下存在 Apple 指定的验证文件(如 apple-developer-merchantid-domain-association.txt),且可通过 HTTPS 公网直接访问(HTTP 不被接受,无重定向)。
3、在 PHP 项目中,通过静态文件路由(如 Nginx 的 location /apple-developer-merchantid-domain-association.txt)显式返回该文本内容,禁止经 PHP 脚本动态输出(Apple 验证器不执行脚本)。
4、返回开发者账户页面,点击域名右侧的 Verify 按钮,等待状态变为绿色勾选标记(通常数秒至两分钟)。
四、校验 PHP 服务端时间与证书有效期一致性
PHP 的 OpenSSL 扩展在验证证书链时严格依赖系统时间。若服务器时间偏差超过证书有效时间范围(如 UTC 时间早于证书 Not Before 或晚于 Not After),将触发 X.509 验证失败,表现为 curl_error() 返回“SSL certificate problem: certificate has expired”等错误,即使证书实际未过期。
1、在 PHP 服务器执行命令检查系统时间:
date -u
2、比对输出时间与当前 UTC 时间(如通过 time.gov 或 worldtimeapi.org API 获取权威时间),偏差超过 300 秒即需校正。
3、启用 NTP 时间同步服务:
systemctl enable chronyd && systemctl start chronyd(CentOS/RHEL)
或 sudo timedatectl set-ntp true(Ubuntu/Debian)
4、在 PHP 代码中添加调试逻辑,输出证书有效期信息:
$cert = openssl_x509_parse(file_get_contents('merchant_identity.pem'));
var_dump($cert['validFrom_time_t'], $cert['validTo_time_t']);
五、检查 PHP OpenSSL 扩展兼容性与证书链完整性
部分旧版 PHP(如 7.2 及更早)或自编译 OpenSSL(低于 1.1.1)无法正确处理 Apple 签发的 ECC 证书或完整证书链,导致 handshake failure。Apple Pay 商家证书现普遍采用 ECDSA P-256 签名,需确保底层支持。
1、在 PHP 服务器运行命令确认 OpenSSL 版本:
php -r "print_r(openssl_get_cert_locations());"
并检查 output 中 openssl.cafile 路径是否存在且可读。
2、下载最新 Apple Root CA(如 “Apple Root CA – G3”)与中间证书(“Apple Application Integration CA”),合并为 bundle.pem:
cat AppleRootCA-G3.pem AppleApplicationIntegrationCA.pem > apple_bundle.pem
3、在 PHP cURL 请求中显式设置证书路径:
curl_setopt($ch, CURLOPT_CAINFO, '/path/to/apple_bundle.pem');
4、验证 PHP 是否启用 ECDSA 支持:
php -r "var_dump(defined('OPENSSL_ALGO_SHA256') && extension_loaded('openssl'));"
