Apple Pay 账号配置
本指南介绍在开始实现 Apple Pay 支付处理之前所需完成的关键配置步骤。请根据所选的集成模式,完成对应的准备与配置。
前置条件
开始之前,请确保:
- 商户账号:已开通具备 Apple Pay 能力的 Onerway 商户账号
- HTTPS 域名:生产域名启用有效的 SSL 证书
- 集成模式:已明确选定集成模式与职责划分
集成模式快速参考
- 商户自有账号模式(Merchant-Owned Account):依赖您已有的 Apple Developer 账号,自行管理证书
- Onerway 代理模式(Proxy):依托 Onerway 的集中化证书基础设施
商户自有账号模式(Merchant-Owned Account)配置
1. Apple Developer 账号配置
创建 Merchant ID
重要
若已存在可用的 Merchant ID,可跳过此步骤。
访问 Apple Developer 控制台:
- 登录 Apple Developer Account
- 前往 Certificates, Identifiers & Profiles → Identifiers
- 右上角切换到 Merchant IDs 页面
创建新的 Merchant ID:
- 点击 Identifier 旁的 “+”
- 选择 Merchant IDs → 点击 Continue
- 填写 Description 与 Identifier(格式示例:
merchant.com.yourcompany.appname) - 点击 Register 并记录该 Merchant ID
配置支付处理证书(Payment Processing Certificate)
证书生成流程
支付处理证书由 Onerway 安全基础设施统一生成。您需要将 Onerway 提供的证书上传至 Apple Developer 账号。
向 Onerway 申请证书:
- 将您的
Merchant ID提交给 Onerway 技术集成团队 - 由 Onerway 生成该
Merchant ID对应的支付处理证书
- 将您的
在 Apple Developer 控制台上传证书:
- 进入该
Merchant ID的配置页 - 前往 Apple Pay Payment Processing Certificate → 点击 Create Certificate
- 在 "Will payments be processed exclusively in China mainland?" 问题中选择 No(Onerway 处理海外 Apple Pay 交易)
- 上传 Onerway 提供的 Certificate Signing Request(CSR)文件
- 进入该
配置 Merchant Identity 证书(可选)
何时需要配置
若计划在您自有服务端执行商户验证,则需要配置该证书;如使用 Onerway 的集中式验证,可跳过。
适用场景:
- ✅ 需要配置:自建商户验证服务,完全控制验证流程
- ⏭️ 可跳过:使用 Onerway 代理验证(推荐新手)
证书创建流程:
- 前往 Apple Pay Merchant Identity Certificate → 点击 Create Certificate
- 按照 Apple 的 CSR 创建指南 生成 CSR 文件
- 上传 CSR 并下载生成的证书
实施要求:
- 将证书安全存储于验证服务端
- 实现服务端的 Apple Pay 商户验证
2. 域名注册与验证
域名注册流程
域名管理简化
如需更简化的域名管理,可跳过自助注册流程并使用 Onerway 提供的域名验证文件。
自助域名注册:
- 在 Merchant ID 配置中,点击 Merchant Domains 下的 Add Domain
- 填写您的 Apple Pay 域名
- 下载域名验证文件
apple-developer-merchantid-domain-association
部署域名验证文件:
bash# 将验证文件部署至如下精确路径: https://yourdomain.com/.well-known/apple-developer-merchantid-domain-association # 验证该文件可通过 HTTPS 访问并返回 HTTP 200 curl -I https://yourdomain.com/.well-known/apple-developer-merchantid-domain-association1
2
3
4
5完成验证:
- 确保在 SSL Labs 评测中达到 A 级
- 在 Apple Developer 控制台点击 Verify
- 确认验证状态为成功
Onerway 代理模式(Proxy)配置
适用场景推荐
推荐使用代理模式的情况:
- ✅ 新手商户:首次接入 Apple Pay,希望简化配置流程
- ✅ 快速上线:需要快速部署,减少证书管理复杂度
- ✅ 多域名商户:管理多个域名,希望统一证书基础设施
- ✅ 无 Apple Developer 账号:尚未申请或不希望管理 Apple Developer 账号
考虑自有账号模式的情况:
- 🔧 完全控制:需要完全控制商户验证流程和证书管理
- 🔧 现有基础设施:已有完善的 Apple Developer 账号和证书管理流程
1. 域名基础设施要求
SSL/TLS 配置
- 协议支持:TLS 1.2+ 且优选现代加密套件
- 证书颁发机构:来自知名 CA 的企业级证书
- 安全评级:通过 SSL Labs 评测至少 A 级
域名提交流程
提交域名信息:
- 向 Onerway 技术团队提供完整域名 URL
- 格式:
https://your-store.com - 如有需要 Apple Pay 的子域名一并提供
由 Onerway 执行域名注册:
- Onerway 在其 Apple Developer 基础设施中完成域名注册
- 生成域名专属的验证文件
- 提供验证完成所需的技术指引
2. 证书集中化管理
Onerway 证书基础设施
- Payment Processing Certificates:统一证书用于安全交易处理
- Merchant Identity Certificates:集中化的 merchant validation 工作流证书
- Automatic Maintenance:自动化证书续期与轮换
验证文件部署
接收验证文件:
- Onerway 提供
apple-developer-merchantid-domain-association文件
- Onerway 提供
部署文件:
bash# 部署到指定服务器路径: https://your-store.com/.well-known/apple-developer-merchantid-domain-association # 验证该文件可通过 HTTPS 访问并返回 HTTP 200 curl -I https://your-store.com/.well-known/apple-developer-merchantid-domain-association1
2
3
4
5执行验证:
- Onerway 通过 Apple 基础设施完成域名验证
- 验证成功后将提供确认通知
安全要求
服务器基础设施要求
SSL/TLS 配置标准
- 最低 TLS 版本:TLS 1.2(推荐 TLS 1.3)
- Cipher Suites(按优先顺序):
ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA384ECDHE-ECDSA-AES128-GCM-SHA256ECDHE-ECDSA-AES256-GCM-SHA384
安全合规检查清单
- ✅ SSL Labs A 级:达成至少 A 级安全评级
- ✅ 弃用旧版协议:禁用 SSLv3、TLS 1.0、TLS 1.1
- ✅ HSTS 启用:开启 HTTP Strict Transport Security
- ✅ SNI 支持:确认 Server Name Indication 兼容性
证书管理最佳实践
证书安全
- 安全存储:在受控环境中安全存储证书
- 定期轮换:实施自动化的证书续期流程
- 监控:监控证书到期与验证状态
访问控制
- 最小权限原则:仅向必要角色授予证书访问权限
- 审计日志:保留证书访问与使用的日志
- 备份机制:对关键证书与密钥进行安全备份
本章完成项 Checklist
商户自有账号模式完成项
- 已创建或确认
Merchant ID在 Apple Developer 控制台 - 已向 Onerway 申请并上传支付处理证书
- (可选)已配置 Merchant Identity 证书(如需自建商户验证)
- 已完成域名注册和验证文件部署
- 已通过 Apple Developer 控制台验证域名
Onerway 代理模式完成项
- 已向 Onerway 提交域名信息
- 已部署 Onerway 提供的域名验证文件
- 已确认域名 SSL 评级达到 A 级
- 已收到 Onerway 的域名验证完成确认
通用安全要求完成项
- 已启用 HTTPS 且 SSL Labs 评级达到 A 级
- 已启用 HSTS 和现代加密套件
- 域名验证文件可通过 HTTPS 正常访问
下一步
完成以上集成配置后:
- 支付流程概览:查看 完整支付流程 了解端到端时序图
- 会话初始化:配置 Apple Pay 会话初始化
- 支付请求创建:实现 支付请求创建
- 错误处理:配置完整的 错误处理与排障