方法1：开始-运行-gpedit.msc-计算机配置-Windows 设置-安全设置-本地策略-安全选项-系统机密：将FIPS兼容算法用于加密、哈希和签名-设置禁用-退出安装程序，重新安装一次。亲测没啥效果本来就是禁用的
 
 
方法2：
 
修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\fipsalgorithmpolicy把1改成0。
 
由于系统默认就是这样设置的，因此以上方案，亲测无用。
 
 
方法3：
 
出现上述问题还是证书安装问题，需要手动安装证书。
 
 
 
 
 
 
 
首先打开\certificates文件夹；（在离线目录下）
 
右键选中证书–安装证书，弹出证书导入向导框，直接点击下一步；
 
在证书存储窗体中选中“将所有的证书放入下列存储（P）”，然后点击“浏览”，弹出选中证书存储窗体；
 
在证书存储列中选择 “受信任的根证书颁发机构”，点击确定
 
点击“下一步”，直至证书安装完成。
 
依次安装“\certificates”文件夹下的所有证书。
 
测试无效
 
 
4
 
方法4：直接删除 安装目录下的 VS_installer.opc 在进行安装就不会报错了！亲测有效
 

[http-nio-8080-exec-4] ERROR c.l.b.s.i.alipay.AliPayServiceImpl - 【支付宝支付异步通知】签名验证失败, response=gmt_create=2020-03-12 11:36:59&charset=utf-8&gmt_payment=2020-03-12 11:37:10&notify_time=2020-03-12 11:37:10&subject=4559066-最好的支付sdk&sign=cSy8rM9vuvjqJbWB1GHvMikabPH7tf2QMvwqQhP0Gttr7Fg2pVFjg/Fkz+Kbz0rxdaQNmnLAfGmkAlpq7s6BtGdwO0RKIxKsXQRdWQ6LXeaMyRUyk0Q/oPxBKFZlW9KrLzKpV1Nm9hVNII3ZGuk3K8YmzZGb79EERJA8unY8ERmQYLFv1HH5cgEB28mcClQnmbzRdGlE6X1xYCkEHy7zDUDVaxEfG6tEFkNBKfxOI00erMhZtf+fMIBpiVPAWXjshByvHIRTc9WZviHaX9cEgjkkptMKhvLtE9F5TUH0y3jPhkMuk1sIInlIBy9iTaJoCVo2NeYw31GMjXNXlrUQXw==&buyer_id=2088302363555952&invoice_amount=0.04&version=1.0&notify_id=2020031200222113710055951442108265&fund_bill_list=[{“amount”:“0.04”,“fundChannel”:“ALIPAYACCOUNT”}]&notify_type=trade_status_sync&out_trade_no=855656&total_amount=0.04&trade_status=TRADE_SUCCESS&trade_no=2020031222001455951401874696&auth_app_id=2018062960540016&receipt_amount=0.04&point_amount=0.00&buyer_pay_amount=0.04&app_id=2018062960540016&sign_type=RSA2&seller_id=2088721207163940

2021年01月15日，第1次分享文档，新冠肺炎全球传染；在家办公中....
 
文章关键词：微信支付、APIv3接口、wechatpay-apache-httpclient、Certificate Downloader、微信支付V3接口、应答的微信支付签名验证失败、密钥、证书
 
微信支付接口升级到APIv3，主要升级两个方向：1.采用JSON数据交互 2.使用基于非对称密钥的SHA256-RSA的数字签名算法，不再使用MD5或HMAC-SHA256；
 
调用接口需要：签名生成、签名验证、证书、公钥、私钥等概念的技术；为了快手入手，打算使用官方提供的wechatpay-apache-httpclient(微信支付API v3的Apache HttpClient扩展，实现了请求签名的生成和应答签名的验证)；
 
需要配置：商户号、商户证书序列号、商户私钥、微信支付平台证书，标红的配置就是出现问题的关键，也是微信支付社区里很多人遇到的问题；
 
其它的配置信息可以按照微信支付官方文档进行操作就可以获得，但是把“商户API证书”apiclient_cert.pem配置成了“微信支付平台证书”，意外的是接口可以调通，可我下断点去看返回数据时，无法获取到返回response对象，后来发现是wechatpay-apache-httpclient包
 
里面抛异常了：signature verify fail: serial=  也就是“应答的微信支付签名验证失败”，原因就是配置错了“微信支付平台证书”；
 
下一步就是搞到它，在官网文档里没有找到怎么获取它方法，只是知道了https://api.mch.weixin.qq.com/v3/certificates这个接口，可惜它返回的是json，并不是直接的“微信支付平台证书”；不能获取到....
 
继续查看官方文档，发现了微信支付平台证书下载工具(Certificate Downloader)，可以配置运行源代码，或直接下载jar包，运行包：
 
java -jar CertificateDownloader-1.1.jar -f 商户私钥文件路径/apiclient_key.pem  -k 证书解密的密钥 -m 商户号 -o 微信支付平台证书保存路径  -s 商户证书序列号
 
这样就获取到微信支付平台证书，解决了"应答的微信支付签名验证失败"
 

 
前言
 
后端在写对外的API接口时，一般会对参数进行签名来保证接口的安全性，在设计签名算法的时候，主要考虑的是这几个问题：
 
1. 请求的来源是否合法
 
2. 请求参数是否被篡改
 
3. 请求的唯一性
 
我们的签名加密也是主要针对这几个问题来实现
 
设计
 
基于上述的几个问题，我们来通过已下步骤来实现签名加密：
 
1. 通过分配给APP对应的app_key和app_secret来验证身份
 
2. 通过将请求的所有参数按照字母先后顺序排序后拼接再MD5加密老保证请求参数不被篡改
 
3. 请求里携带时间戳参数老保证请求的唯一和过期，重复的请求在指定时间(可配置)内有效
 
实现
 
签名生成:
 
生成当前时间戳timestamp=now
 
按照请求参数名的字母升序排列非空请求参数(包含accessKey) stringA="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random";
 
拼接密钥accessSecret stringSignTemp="AccessKey=access&home=world&name=hello&work=java&timestamp=now&nonce=random&accessSecret=secret";
 
MD5并转换为大写生成签名 sign=MD5(stringSignTemp).toUpperCase();
 
JAVA代码如下：params是从request里面获取的所有参数map，accessSecret是加密密钥
 
private String createSign(Map params, String accessSecret) throws UnsupportedEncodingException {
 
Set keysSet = params.keySet();
 
Object[] keys = keysSet.toArray();
 
Arrays.sort(keys);
 
StringBuilder temp = new StringBuilder();
 
boolean first = true;
 
for (Object key : keys) {
 
if (first) {
 
first = false;
 
} else {
 
temp.append("&");
 
}
 
temp.append(key).append("=");
 
Object value = params.get(key);
 
String valueString = "";
 
if (null != value) {
 
valueString = String.valueOf(value);
 
}
 
temp.append(valueString);
 
}
 
temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);
 
return MD5Util.MD52(temp.toString()).toUpperCase();
 
}
 
签名校验:
 
参数格式校验
 
超时校验
 
验证签名
 
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
 
Map result = new HashMap();
 
String timestamp = request.getParameter(TIMESTAMP_KEY);
 
String accessKey = request.getParameter(ACCESS_KEY);
 
String accessSecret = map.get(accessKey);
 
if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {
 
result.put("code", 1000);
 
result.put("msg", "请求时间戳不合法");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
// 检查KEY是否合理
 
if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {
 
result.put("code", 1001);
 
result.put("msg", "加密KEY不合法");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
Long ts = Long.valueOf(timestamp);
 
// 禁止超时签名
 
if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {
 
result.put("code", 1002);
 
result.put("msg", "请求超时");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
if (!verificationSign(request, accessKey, accessSecret)) {
 
result.put("code", 1003);
 
result.put("msg", "签名错误");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
return true;
 
}
 
校验签名：
 
private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {
 
Enumeration> pNames = request.getParameterNames();
 
Map params = new HashMap();
 
while (pNames.hasMoreElements()) {
 
String pName = (String) pNames.nextElement();
 
if (SIGN_KEY.equals(pName)) continue;
 
Object pValue = request.getParameter(pName);
 
params.put(pName, pValue);
 
}
 
String originSign = request.getParameter(SIGN_KEY);
 
String sign = createSign(params, accessSecret);
 
return sign.equals(originSign);
 
}
 
完整代码:
 
这里通过拦截器来实现接口拦截，可自行替换
 
package com.mlcs.mop.common.web.interceptor;
 
import com.mlcs.core.conf.ZKClient;
 
import com.mlcs.mop.common.web.util.MD5Util;
 
import com.mlcs.mop.common.web.util.WebUtils;
 
import org.apache.zookeeper.KeeperException;
 
import org.springframework.util.StringUtils;
 
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
 
import javax.servlet.http.HttpServletRequest;
 
import javax.servlet.http.HttpServletResponse;
 
import java.io.IOException;
 
import java.io.StringReader;
 
import java.io.UnsupportedEncodingException;
 
import java.util.*;
 
import java.util.concurrent.ConcurrentHashMap;
 
/**
 
* Author: Kelin
 
* Date: 2018/5/16
 
* Description:
 
*/
 
@SuppressWarnings("SuspiciousMethodCalls")
 
public class SimpleApiSignInterceptor extends HandlerInterceptorAdapter {
 
// 签名超时时长，默认时间为5分钟，ms
 
private static final int SIGN_EXPIRED_TIME = 5 * 60 * 1000;
 
private static final String API_SIGN_KEY_CONFIG_PATH = "/mop/common/system/api_sign_key_mapping.properties";
 
private static final String SIGN_KEY = "sign";
 
private static final String TIMESTAMP_KEY = "timestamp";
 
private static final String ACCESS_KEY = "accessKey";
 
private static final String ACCESS_SECRET = "accessSecret";
 
private static Map map = new ConcurrentHashMap();
 
static {
 
// 从zk加载key映射到内存里面
 
try {
 
String data = ZKClient.get().getStringData(API_SIGN_KEY_CONFIG_PATH);
 
Properties properties = new Properties();
 
properties.load(new StringReader(data));
 
for (Object key : properties.keySet()) {
 
map.put(String.valueOf(key), properties.getProperty(String.valueOf(key)));
 
}
 
} catch (KeeperException e) {
 
e.printStackTrace();
 
} catch (InterruptedException e) {
 
e.printStackTrace();
 
} catch (IOException e) {
 
e.printStackTrace();
 
}
 
}
 
@Override
 
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
 
Map result = new HashMap();
 
String timestamp = request.getParameter(TIMESTAMP_KEY);
 
String accessKey = request.getParameter(ACCESS_KEY);
 
String accessSecret = map.get(accessKey);
 
if (!org.apache.commons.lang.StringUtils.isNumeric(timestamp)) {
 
result.put("code", 1000);
 
result.put("msg", "请求时间戳不合法");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
// 检查KEY是否合理
 
if (StringUtils.isEmpty(accessKey) || StringUtils.isEmpty(accessSecret)) {
 
result.put("code", 1001);
 
result.put("msg", "加密KEY不合法");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
Long ts = Long.valueOf(timestamp);
 
// 禁止超时签名
 
if (System.currentTimeMillis() - ts > SIGN_EXPIRED_TIME) {
 
result.put("code", 1002);
 
result.put("msg", "请求超时");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
if (!verificationSign(request, accessKey, accessSecret)) {
 
result.put("code", 1003);
 
result.put("msg", "签名错误");
 
WebUtils.writeJsonByObj(result, response, request);
 
return false;
 
}
 
return true;
 
}
 
private boolean verificationSign(HttpServletRequest request, String accessKey, String accessSecret) throws UnsupportedEncodingException {
 
Enumeration> pNames = request.getParameterNames();
 
Map params = new HashMap();
 
while (pNames.hasMoreElements()) {
 
String pName = (String) pNames.nextElement();
 
if (SIGN_KEY.equals(pName)) continue;
 
Object pValue = request.getParameter(pName);
 
params.put(pName, pValue);
 
}
 
String originSign = request.getParameter(SIGN_KEY);
 
String sign = createSign(params, accessSecret);
 
return sign.equals(originSign);
 
}
 
private String createSign(Map params, String accessSecret) throws UnsupportedEncodingException {
 
Set keysSet = params.keySet();
 
Object[] keys = keysSet.toArray();
 
Arrays.sort(keys);
 
StringBuilder temp = new StringBuilder();
 
boolean first = true;
 
for (Object key : keys) {
 
if (first) {
 
first = false;
 
} else {
 
temp.append("&");
 
}
 
temp.append(key).append("=");
 
Object value = params.get(key);
 
String valueString = "";
 
if (null != value) {
 
valueString = String.valueOf(value);
 
}
 
temp.append(valueString);
 
}
 
temp.append("&").append(ACCESS_SECRET).append("=").append(accessSecret);
 
return MD5Util.MD52(temp.toString()).toUpperCase();
 
}
 
}