跳轉到主要內容
本指南適用於使用 FPS App-to-App 付款模式的商戶,尤其是透過 HSBC 直連模式 進行整合的商戶。

何時需要申請 FPS 電子憑證(e-Cert)?

當您符合以下情境時,必須申請並配置 FPS 電子憑證:
  • 使用 FPS App-to-App 付款流程
  • 使用 商戶專屬 Universal Link / HTTPS Domain
  • 銀行要求進行 商戶域名驗證與組織名稱驗證(例如 HSBC)
在此模式下,銀行 App 會驗證您的 SSL 憑證資訊是否符合 FPS 技術規範。

FPS 憑證驗證規範(重要)

根據 FPS 技術規範第 6.9.2 節:銀行支付應用程式必須驗證 X.509 憑證中 Subject 欄位的 Organisation Name (O)
是否與 FPS Addressing Service 中登記的 Payee Name(收款人名稱) 完全一致。比對規則:
  • 不區分大小寫
  • 不區分空格
  • 必須完全一致
若名稱不匹配,付款將被銀行端拒絕。

關鍵說明

  • O=(Organisation Name)
    必須與 FPS Addressing Service 登記的收款商戶名稱完全一致。
  • CN=(Common Name)
    為憑證網域名稱。
    此網域由 QFPay 根據整合場景指派與設定,商戶不可自行決定。
  • 若使用多個子網域(例如 fps.payment.example.com
    每個網域皆需獨立申請 e-Cert,將產生額外費用與審核時間。

DNS 設定要求

商戶需於 DNS 中新增以下 CNAME 記錄:
DNS Example
Host: fps.merchant.com
Type: CNAME
Value: hk.qfapi.com
此設定用於 FPS App-to-App 安全跳轉與後端驗證。

FPS 電子憑證申請流程

步驟說明
1填寫申請表 CPos 798F
2親身前往任何香港郵政局提交申請
3出示授權代表身份證明並繳交年費
4取得 PIN 信封(用於 CSR 提交)
5於 e-Cert 平台提交 CSR
6等待約 10 個工作天完成審核(包含域名及電郵驗證)
7審核通過後簽發憑證
8下載並安裝於您的 HTTPS 伺服器
9憑證檔 (.cer/.crt) 與私鑰檔 (.key) 提供給 QFPay 技術支援團隊完成設定

CSR 產生方式(OpenSSL 範例)

在提交申請前,需先自行產生 CSR。 示例指令:
OpenSSL CSR Generation
openssl req -new -SHA256 -newkey rsa:2048 -nodes \
-keyout <key_name>.key \
-out <cert_name>.csr \
-subj "/C=HK/ST=HongKong/L=HongKong/O=<您的組織名稱>/OU=/CN=<QFPay指派網域>"

參數說明

參數說明
-newkey rsa:2048產生 2048-bit RSA 金鑰
-nodes不加密 private key
-keyout私鑰輸出檔名
-outCSR 輸出檔名
-subj憑證 Subject 欄位內容

重要注意事項

  • O= 必須與 FPS 收款人名稱完全一致
  • CN= 必須使用 QFPay 指派之網域
  • OU= 可留空(如無特殊部門名稱)

必備文件

  • 已填寫之 CPos 798F 表格
  • 商業登記證(BR)副本
  • 公司註冊證(CI)副本
  • 域名擁有證明(發票或 DNS 截圖)

憑證核發後責任

香港郵政將於憑證到期前 30 天與 14 天 發送續期提醒電郵。商戶需自行辦理續期,並於更新後通知 QFPay 重新部署。
憑證核發完成後:
  • .crt/.cer 憑證檔
  • .key 私鑰檔
提供給 QFPay 技術支援,以完成 FPS Pay URL 設定。

FPS 驗證邏輯摘要

銀行端付款 App 將驗證:
  • X.509 憑證中的 Organisation Name
  • 與 FPS Addressing Service 中 Payee Name 是否一致
若不一致:
  • App 將拒絕付款
  • 使用者無法完成 FPS 交易

參考資料