支付宝官方教程：配置支付宝应用 私钥 应用公钥 支付宝公钥 第一步：生成密钥

支付宝官方教程：配置支付宝应用 私钥 应用公钥 支付宝公钥 第一步：生成密钥

工具下载

支付宝为技术开发人员提供一键生成工具，便于开发者生成一对 RSA 密钥、公钥证书申请 CSR 文件（在线申请应用公钥证书需要）。

应用公钥（public key）需提供给支付宝账号管理者上传到支付宝开放平台；应用私钥（private key）由开发者自己保存，需填写到代码中供签名时使用。加密的过程为系统使用公钥（public key）进行加密，并将密文发送到解密者，解密者用私钥（private key）解密将密文解码为明文。

开发者要保证接口中使用的私钥与此处的公钥匹配，否则无法调用接口。开发者可通过下方链接下载对应的密钥生成工具：

WINDOWS（windows版本工具请不要安装在含有空格的目录路径下，否则会导致公私钥乱码的问题）

MAC_OSX

注意：

密钥和应用（APPID）一一对应，即开发者需要为名下的每个应用分别设置密钥，且不同应用的密钥不能混用。

支付宝开放平台支持开发者使用 普通公钥、公钥证书 两种签名方式；下面分别向您介绍两种方式的工具操作步骤，包括如何使用密钥生成工具，生成应用公钥（public key）、应用私钥（private key）和公钥证书申请 CSR 文件；您也可以通过 视频版教程 快速了解。

普通公钥方式

• 下载相应环境工具并安装后即可使用，本步骤指引以 MAC_OSX 界面为例，如下图所示：
  
  

• 开发者根据开发语言选择密钥格式和密钥长度，新建应用请务必使用 RSA2 密钥长度 即 2048 位（目前已使用 RSA 密钥长度即 1024 位密钥长度的应用仍然可以正常调用接口）。点击 生成密钥 后，工具会自动生成商户应用公钥（public key）和应用私钥（private key），如下图所示：
  
  

• 开发者点击工具界面下方的 打开文件位置，即可找到生成的公私钥文件，如下图所示：
  
  

• 生成密钥后，开发者就可以在应用的开发配置页面进行配置。点击 设置 后，复制上一步生成的公钥，点击 保存设置，即可完成公钥的设置，如下图所示。
  
  

注意：

生成的私钥需妥善保管，避免遗失，不要泄露。应用私钥需填写到代码中供签名时使用。应用公钥需提供给支付宝账号管理者上传到支付宝开放平台。

公钥证书方式

注意：

• 企业开发者若涉及资金类支出接口接入，必须使用公钥证书模式。
• 个人开发者不涉及到资金类接口，建议使用“公钥”方式进行加签。
  
  

若开发者使用公钥证书签名方式，开放平台支持通过上传 CSR 文件的方式给开发者在线签发应用公钥证书，新的开放平台 RSA 验签和签名工具支持生成 CSR 文件（个人用户由于不涉及到资金接口，建议使用普通公钥方式接入，降低接入成本），具体操作步骤如下：

同 普通公钥方式 一样，下载相应环境工具并安装后即可使用，本步骤指引以 MAC_OSX 界面为例：

• 点击工具界面下方的 点击获取，生成应用公钥证书 CSR 申请文件。
  
  

• 点击进入 获取csr 页面后，根据如下提示完善填写信息，点击 生成 CSR 文件。请注意 组织/公司 名称一定要和开发者中心门户账号信息的公司名称保持一致，否则会导致后续步骤中上传csr证书文件校验失败。
  
  

Tips：沙箱环境下 组织/公司 名称应填写为 沙箱环境。

• 在生成 CSR 文件后，点击 打开密钥文件路径，在对应的文件夹里可以看到三个文件：应用公钥 key 串、应用私钥 key 串，以及 csr 格式的应用公钥证书文件。如下图所示：
  
  

• 生成公钥证书 CSR 申请文件，开发者就可以在应用的开发配置页面/接口加签方式进行配置（如下图 1）。点击 设置 后，选择 公钥证书（如下图2）> 上传 CSR 文件在线生成证书 > 上传 CSR 文件在线生成，选择上一步骤生成的 .csr 文件上传，即可完成公钥证书的设置，如下图所示。
  
  

注意：

生成的私钥需妥善保管，避免遗失，不要泄露。应用私钥需填写到代码中供签名时使用，并且必须保证应用私钥和上传到开放平台申请应用公钥证书的 CSR 文件是匹配的。

• 开发者还可以上传已申请的证书，如下图所示。开发者上传完成证书后，系统会自动识别证书的加密方式。
  
  

加签变更

普通公钥 和 公钥证书这两种方式在设置后可以进行切换。开发者进入 密钥管理 页面后，选择需要进行变更签名的应用，找到应用的“接口加签方式”，点击 设置 进入加签管理页面，点击 加签变更 即可改变签名方式，如下图所示。

注意：

• 加签方式完成变更后新的加签方式会立即生效，旧加签方式（公钥/公钥证书）将在 7天 后失效；开发者务必及时更新访问支付宝网关的代码中密钥相关配置，否则变更 7天 后使用旧加签方式接入的请求会被支付宝网关拦截而导致无法成功调用。
• 如果开发者需要立即失效旧的加签方式，可以点击页面的 立即作废 即可实时失效旧加签方式；当然开发者还可以点击 撤销变更 来撤销本次变更，原来的加签方式有效期不变。
  
  

不同的加签变更情况如下图所示：