> ## Documentation Index
> Fetch the complete documentation index at: https://sdk.qfapi.com/llms.txt
> Use this file to discover all available pages before exploring further.

# FPS 電子憑證申請與設定指南

> FPS App-to-App 付款整合所需之 e-Cert（SSL 憑證）申請與設定說明，特別適用於 HSBC 直連商戶。

<Info>
  本指南適用於使用 **FPS App-to-App** 付款模式的商戶，尤其是透過 **HSBC 直連模式** 進行整合的商戶。
</Info>

***

## 何時需要申請 FPS 電子憑證（e-Cert）？

當您符合以下情境時，必須申請並配置 FPS 電子憑證：

* 使用 **FPS App-to-App** 付款流程
* 使用 **商戶專屬 Universal Link / HTTPS Domain**
* 銀行要求進行 **商戶域名驗證與組織名稱驗證**（例如 HSBC）

在此模式下，銀行 App 會驗證您的 SSL 憑證資訊是否符合 FPS 技術規範。

***

## FPS 憑證驗證規範（重要）

<Warning>
  根據 FPS 技術規範第 6.9.2 節：

  銀行支付應用程式必須驗證 X.509 憑證中 **Subject 欄位的 Organisation Name (O)**\
  是否與 FPS Addressing Service 中登記的 **Payee Name（收款人名稱）** 完全一致。

  比對規則：

  * 不區分大小寫
  * 不區分空格
  * 必須完全一致

  若名稱不匹配，付款將被銀行端拒絕。
</Warning>

### 關鍵說明

* `O=`（Organisation Name）\
  必須與 FPS Addressing Service 登記的收款商戶名稱完全一致。

* `CN=`（Common Name）\
  為憑證網域名稱。\
  此網域由 **QFPay 根據整合場景指派與設定**，商戶不可自行決定。

* 若使用多個子網域（例如 `fps.payment.example.com`）\
  每個網域皆需獨立申請 e-Cert，將產生額外費用與審核時間。

***

## DNS 設定要求

商戶需於 DNS 中新增以下 CNAME 記錄：

```text DNS Example theme={null}
Host: fps.merchant.com
Type: CNAME
Value: hk.qfapi.com
```

此設定用於 FPS App-to-App 安全跳轉與後端驗證。

***

## FPS 電子憑證申請流程

| 步驟 | 說明                                                     |
| -- | ------------------------------------------------------ |
| 1  | 填寫申請表 **CPos 798F**                                    |
| 2  | 親身前往任何香港郵政局提交申請                                        |
| 3  | 出示授權代表身份證明並繳交年費                                        |
| 4  | 取得 PIN 信封（用於 CSR 提交）                                   |
| 5  | 於 e-Cert 平台提交 CSR                                      |
| 6  | 等待約 10 個工作天完成審核（包含域名及電郵驗證）                             |
| 7  | 審核通過後簽發憑證                                              |
| 8  | 下載並安裝於您的 HTTPS 伺服器                                     |
| 9  | 將 **憑證檔 (.cer/.crt) 與私鑰檔 (.key)** 提供給 QFPay 技術支援團隊完成設定 |

***

## CSR 產生方式（OpenSSL 範例）

在提交申請前，需先自行產生 CSR。

示例指令：

```bash OpenSSL CSR Generation theme={null}
openssl req -new -SHA256 -newkey rsa:2048 -nodes \
-keyout <key_name>.key \
-out <cert_name>.csr \
-subj "/C=HK/ST=HongKong/L=HongKong/O=<您的組織名稱>/OU=/CN=<QFPay指派網域>"
```

### 參數說明

| 參數                 | 說明                 |
| ------------------ | ------------------ |
| `-newkey rsa:2048` | 產生 2048-bit RSA 金鑰 |
| `-nodes`           | 不加密 private key    |
| `-keyout`          | 私鑰輸出檔名             |
| `-out`             | CSR 輸出檔名           |
| `-subj`            | 憑證 Subject 欄位內容    |

### 重要注意事項

* `O=` 必須與 FPS 收款人名稱完全一致
* `CN=` 必須使用 QFPay 指派之網域
* `OU=` 可留空（如無特殊部門名稱）

***

## 必備文件

* 已填寫之 CPos 798F 表格
* 商業登記證（BR）副本
* 公司註冊證（CI）副本
* 域名擁有證明（發票或 DNS 截圖）

***

## 憑證核發後責任

<Info>
  香港郵政將於憑證到期前 **30 天與 14 天** 發送續期提醒電郵。

  商戶需自行辦理續期，並於更新後通知 QFPay 重新部署。
</Info>

憑證核發完成後：

* 將 `.crt/.cer` 憑證檔
* 與 `.key` 私鑰檔

提供給 QFPay 技術支援，以完成 FPS Pay URL 設定。

***

## FPS 驗證邏輯摘要

銀行端付款 App 將驗證：

* X.509 憑證中的 Organisation Name
* 與 FPS Addressing Service 中 Payee Name 是否一致

若不一致：

* App 將拒絕付款
* 使用者無法完成 FPS 交易

***

## 參考資料

* [https://www.ecert.gov.hk/product/ecert/apply/certapply.html#t4](https://www.ecert.gov.hk/product/ecert/apply/certapply.html#t4)
* [https://www.ecert.gov.hk/product/ecert/apply/img/e-Cert\_%28S%29\_Flow.pdf](https://www.ecert.gov.hk/product/ecert/apply/img/e-Cert_%28S%29_Flow.pdf)
