AI 助理
备案控制台
开发者社区> 问答> 正文

官方的php sdk 里面并没有公钥证书签名的方法

各位大佬,貌似官方的php sdk里面没有公钥证书的签名接口,是不是公钥证书签名目前不支持php

展开
收起
壁虎567 2019-08-26 22:15:40 11014 0
来自:支付宝开发者社区
8 条回答
写回答
取消 提交回答
  • 天笑2001
    推荐回答

    === 2018/8/30 16:00 终于搞定php对公钥证书签名 根据java SDK源码,用php取公钥证书SN如下:

    $p = [];

$str = file_get_contents('./alipayRootCert.crt');
$p["alipay_root_cert_sn"] = getRootCertSN($str);

$str = file_get_contents('./alipayCertPublicKey_RSA2.crt');
$p["alipay_cert_sn"] = getCertSN($str);

$str = file_get_contents('./appCertPublicKey.crt');
$p["app_cert_sn"] = getCertSN($str);

var_export($p);

function getRootCertSN($str)
{
	$arr = preg_split('/(?=-----BEGIN)/', $str, -1, PREG_SPLIT_NO_EMPTY);
	$str = null;
	foreach ($arr as $e) {
		$sn = getCertSN($e, true);
		if (!$sn)
			continue;
		if ($str === null)
			$str = $sn;
		else
			$str .= "_" . $sn;
	}
	return $str;
}

function getCertSN($str, $matchAlgo=false)
{
/* 
根据java SDK源码:AntCertificationUtil::getRootCertSN
对证书链中RSA的项目进行过滤(猜测是gm国密算法java抛错搞不定,故意略去)
java源码为:

	if(c.getSigAlgOID().startsWith("1.2.840.113549.1.1"))

根据 https://www.alvestrand.no/objectid/1.2.840.113549.1.1.html
该OID为RSA算法系。
*/ 
	if ($matchAlgo) {
		openssl_x509_export($str, $out, false);
		if (!preg_match('/Signature Algorithm:.*?RSA/im', $out, $m))
			return;
	}
	$a = openssl_x509_parse($str);
	$issuer = null;
	// 注意:根据java代码输出,需要倒着排列 CN,OU,O
	foreach ($a["issuer"] as $k=>$v) {
		if ($issuer === null) {
			$issuer = "$k=$v";
		}
		else {
			$issuer = "$k=$v," . $issuer;
		}
	}
#	echo($issuer . $a["serialNumber"] . "\n");
	$sn = md5($issuer . $a["serialNumber"]);
	return $sn;
}

    做为首批踩坑者,只能长叹一声

    === 2018/8/30 12:15 更新:

    名字和序列化取出来像这样:

    CN=Ant Financial Certification Authority Class 2 R1,OU=Certification Authority,O=Ant Financial,C=CN
42665268812499181166312682537244063920
    • 名字各段之间用逗号分隔,没有额外的空格
    • 序列号是10进制数,不是16进制,也没有任何分隔符
    • 取根证书sn需要遍历其中所有证书链,分别对name+serial进行md5编码,再用"_"连接起来。

    看了半天java源码,终于运行起来,把sn值打出来了,拷贝到php中,终于看到手机上支付页面出来了。结果大致像这样:

    "app_cert_sn" => "06de145e15a73a8ce87f3eefeddce8b2",
//"alipay_cert_sn" => "b1a855128d973b1ff1b1609bbce77fe0",
"alipay_root_cert_sn" => "687b59193f3f462dd5336e5abf83c5d8_02941eef3187dddf3d3b83462e1dfcf6"

    支付宝根证书要用特殊方法来取(源码里用AntCertificationUtil.getRootCertSN),怪不得之前写的不行。

    定此接口的人需要深刻检讨,竟然直接以java语言的某个输出来定接口规范。难怪php或其它语言的相关sdk没有出来,我感觉也不好写。

    ============ 旧消息

    新申请的开放平台帐号,被强制使用了公钥证书签名。 !!!下面开始吐槽:

    首先是接口文档比如 https://docs.open.alipay.com/api_1/alipay.trade.app.pay 中完全没提到有公钥证书签名这回事。

    调用支付出问题后(报错总是报“支付取消”??),四处查文档,才找到php SDK没有提供此功能,于是决定按接口文档来写。

    签名算法的文档中介绍是这样介绍算法的: “SN值是通过解析X.509证书文件中签发机构名称(name)以及内置序列号(serialNumber),将二者拼接后的字符串计算MD5值获取”

    尼码,文档完全没有介绍name和serialNumber分别是怎样的文本格式?也没有例子。 我试了name是 “ROOTCA”,“/C=CN/O=NRCAC/CN=ROOTCA”,“C=CN, O=NRCAC, CN=ROOTCA”各种格式,而serialNumber格式我试了 “69e2fec0170ac67b”以及加"69 e2..."、加“69:e2..."等,以及各种组合,都没有验签成功。

    于是走第二条路,找它说的java SDK源码来参考。打开java sdk链接,是在maven上的,找了好久才搜到了新版本java源码。

    终于找到了介绍的getCertSN函数,其核心是这样实现的:

        public static String getCertSN(String certPath)throws AlipayApiException{
        InputStream inputStream = null;
            inputStream = new FileInputStream(certPath);
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            X509Certificate cert = (X509Certificate)cf.generateCertificate(inputStream);
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update((cert.getIssuerX500Principal().getName()+cert.getSerialNumber()).getBytes());
            String certSN = new BigInteger(1,md.digest()).toString(16);
            //BigInteger会把0省略掉,需补全至32位
            certSN = fillMD5(certSN);
            return certSN;

    于是找这cert.getIssuerX500Principal().getName()+cert.getSerialNumber()文档 实在看不懂,算了,还是直接运行这段java代码吧,把结果复制到php中填参数也可以,眼看就要成功了,结果运行java是这样的:

    java.security.cert.CertificateParsingException: java.io.IOException: Unknown named curve: 1.2.156.10197.1.301
        at sun.security.x509.X509CertInfo.<init>(Unknown Source)
        at sun.security.x509.X509CertImpl.parse(Unknown Source)
        at sun.security.x509.X509CertImpl.<init>(Unknown Source)
        at sun.security.provider.X509Factory.engineGenerateCertificate(Unknown Source)
        at java.security.cert.CertificateFactory.generateCertificate(Unknown Source)
        at j1.getCertSN(j1.java:33)
        at j1.main(j1.java:24)

    搜索发现,是java不支持国密算法。。。(https://cloud.tencent.com/info/fcfae2f8bd49fcce8737c7485afcdf29.html)

    2019-08-30 11:12:56
    赞同 展开评论 打赏
  • 1287545995327468

    https://www.freesion.com/article/9400246878/ 这篇文章亲测有效

    2020-05-28 16:37:54
    赞同 展开评论 打赏
  • 1599323597544343

    资金类接口全强制要求公钥证书,结果下了官方的PHP的SDK和demo后,在demo里找不到公钥证书的验签方式。无奈只能自己重写了个demo,调试的时候也踩了不少坑才配置成功。

    2019-11-02 14:35:58
    赞同 展开评论 打赏
  • 游客del4siafrk7mu

    以前支付宝PHP的SDK就是一坨屎,那个什么AopSDK给你加了个什么鸟lotusphp_runtime框架。现在好了,连屎都吃不上了

    2019-10-18 17:21:12
    赞同 展开评论 打赏
  • 那些年123

    用了你的方法生成的app_cert_sn,提交上去提示

    错误代码 app-cert-not-exist 错误原因: 应用公钥证书不存在

    2019-10-13 00:35:25
    赞同 展开评论 打赏
  • t-1772662718-9-20123

    为什么用你贴的代码生产的根证书sn和java代码生产的不一样呢?

    2019-09-19 14:25:40
    赞同 展开评论 打赏
  • 1628209366284721 
    function getSn($filepath, $isroot = false)
{
    $fileData = file_get_contents($filepath);
    if ($isroot) {
        return getRootCertSN($fileData);
    } else {
        return getCertSN($fileData);
    }
    return $md5_str;
}
function getRootCertSN($str)
{
    // return '687b59193f3f462dd5336e5abf83c5d8_02941eef3187dddf3d3b83462e1dfcf6';
    $arr = preg_split('/(?=-----BEGIN)/', $str, -1, PREG_SPLIT_NO_EMPTY);
    $str = null;
    foreach ($arr as $e) {
        $sn = getCertSN($e, true);
        if (!$sn) {
            continue;
        }
        if ($str === null) {
            $str = $sn;
        } else {
            $str .= "_" . $sn;
        }
    }
    return $str;
}

function getCertSN($str, $matchAlgo = false)
{
    /*
    根据java SDK源码:AntCertificationUtil::getRootCertSN
    对证书链中RSA的项目进行过滤(猜测是gm国密算法java抛错搞不定,故意略去)
    java源码为:

    if(c.getSigAlgOID().startsWith("1.2.840.113549.1.1"))

    根据 https://www.alvestrand.no/objectid/1.2.840.113549.1.1.html
    该OID为RSA算法系。
     */
    if ($matchAlgo) {
        openssl_x509_export($str, $out, false);
        if (!preg_match('/Signature Algorithm:.*?RSA/im', $out, $m)) {
            return;
        }

    }
    $a = openssl_x509_parse($str);
    $issuer = null;
    // 注意:根据java代码输出,需要倒着排列 CN,OU,O
    foreach ($a["issuer"] as $k => $v) {
        if ($issuer === null) {
            $issuer = "$k=$v";
        } else {
            $issuer = "$k=$v," . $issuer;
        }
    }
    #    echo($issuer . $a["serialNumber"] . "\n");
    $serialNumberHex = decimalNotation($a['serialNumberHex']);
    $sn = md5($issuer . $serialNumberHex);
    return $sn;
}
function decimalNotation($hex)
{
    $dec = 0;
    $len = strlen($hex);
    for ($i = 1; $i <= $len; $i++) {
        $dec = bcadd($dec, bcmul(strval(hexdec($hex[$i - 1])), bcpow('16', strval($len - $i))));
    }
    return $dec;
}

    修复16进制转10进制问题

    2019-09-12 13:28:54
    赞同 3 展开评论 打赏
  • ifaceparty

    确实没有。。。得自己照着Java SDK写。。不知道有没有大神写好了。

    2019-08-28 20:01:12
    赞同 1 展开评论 打赏
滑动查看更多
问答分类:
PHP 开发工具
问答标签:
PHP方法 PHP sdk 音视频终端 SDK方法 音视频终端 SDK证书 音视频终端 SDK php
问答地址:
开发者社区 > 支付宝开发者社区 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
消息队列kafka版SDK证书在哪里下载
32
1
0
视觉智能平台文字识别,java版sdk没找到调用本地文件的方法,是不支持吗?
23
2
0
我在使用SDK调用函数计算的UpdateFunction方法修改预留并发数时,但是在调用的时候报错?
31
1
0
阿里云安全SDK循环遍历方法国际国内通用,但是把检测源放在OSS上来批量检测的话?
24
1
0
阿里云语音AI用的是PYTHON 的SDK 没有看到STOP 方法啊,是这个吗?
42
1
0
如何在SDK内部根据回调接口的类型来判断并调用相应的回调方法?
28
1
0
为什么SDK中直接修改原有回调接口以添加新回调方法会导致外部客户无法静默升级?
45
1
0
在智能媒体服务我想动态修改sdk里的timeline 有方法吗?
25
1
0
视觉智能开放平台中,人脸比对用SDK的demo代码.运行提示没有方法请问是什么原因?
38
1
0
python的sdk model没有getonlinefeature的方法?
30
1
0
来源圈子
更多
收录在圈子:
支付宝开发者社区
1070
+ 订阅
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1819012
2 据说在家办公的程序员是这样写代码的? 1793129
3 阿里云开放端口权限 690267
4 如何升级配置 536290
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522846
6 【精品问答】python技术1000问(1) 514126
7 Flink Forward Asia 2021 有奖问答 512907
8 OceanBase 使用动画(持续更新) 359373
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329801
10 OSS存储服务-客户端工具 321574
11 为体验实验室取一个新名字。 307475
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304084
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295329
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284200
15 安全组详解,新手必看教程 277341
16 写code还是做管理,开发者如何进行职业规划? 269138
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255880
18 阿里云手机和阿云浏览器连接问题专帖 235687
19 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 227652
20 请问阿里云邮箱如何开启SMTP服务啊! 225864
1 请教:通过按钮打开另外一个表单,并把其中一个值传递给另一个表单的其中一个字段。 137
2 AI宠物更适合当代年轻人的陪伴需求吗? 619
3 AI客服未来会完全代替人工吗? 828
4 “云+AI”能够孵化出多少可能? 813
5 当AI频繁生成虚假信息,我们还能轻信大模型吗? 610
6 使用免费证书后 服务器浏览器访问没有问题,外网访问 显示证书不可信,使用同一种浏览器哦 161
7 FFA 2024 大会门票免费送!AI时代下大数据技术未来路在何方? 1445
8 为什么宜搭的流程流入到钉钉OA审批,钉钉OA审批要收钱啊。。。。 189
9 宜搭UPDATE或UPSERT一次更新数据超过100条怎么办? 谢谢各位大大帮帮忙!!! 162
10 CUDA error: CUDA-capable device(s) is busy 154
11 AI时代,存力or算力哪一个更关键? 1201
12 求宜搭关联表单的更新方法!!! 320
13 全网寻找 #六边形战士# 程序员,你的 AI 编码助手身份标签是什么? 1270
14 老哥们有个需求想请教一下,十分感谢 309
15 关于“通义灵码”而言,这次更新后,他更加人性化,然而我更喜欢fittencode,理由如下 388
16 关于宜搭自定义页面的文本组件循环获取其它表单的子表单数据。 148
17 flink1.20.0 部署后发布报错,是怎么回事,各种配置都配置了 196
18 关于开发者的100件小事,你知道哪些? 1295
19 AI助力,短剧迎来创新热潮? 1090
20 &quot;ModelScope默认的下载位置是在哪里? 517

相关课程

更多
  • PHP进阶教程 - 由浅入深掌握面向对象开发 - 第二阶段
    211
    33
    去学习
  • PHP完全自学手册文档教程
    9724
    88
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • 探索移动应用开发之旅:从基础到精通
  • PHP中的面向对象编程:基础与实践
  • Java开发环境
  • R 语言 必备 十大资源
  • 数据聚合的消费者隐私风险:企业应该做什么?

    • 相关电子书

    更多
    • 阿里云栖开发者沙龙PHP技术专场-聊聊服务稳定性保障这些事-信海龙 立即下载
    阿里云栖开发者沙龙PHP技术专场-深入浅出网络编程与swoole内核-吴镇宇 立即下载
    一个跨平台的云服务SDK需要什么 立即下载

    相关实验场景

    更多
  • 1分钟SAE部署PHP商城小程序
    1314
    1.0小时
    去实验
  • 10分钟Serverless部署PHP商城
    1285
    1.0小时
    去实验