## 以下内容添加到 LAUNCH-CHECKLIST.md 的 5.4 安全加固之后

### 5.5 微信 API 安全（证书签名）（依赖 3.4）

| 状态 | 项目 |
|------|------|
| 已完成 | 微信后台申请 API 安全证书 |
| | 将 RSA 私钥文件放到服务器 `D:\NeoZQYY\secrets\wx_api_private_key.pem` |
| | 将平台证书放到服务器 `D:\NeoZQYY\secrets\wx_api_cert.cer` |
| | 在 `.env.local` 中配置 `WX_API_CERT_SN`、`WX_API_PRIVATE_KEY_PATH`、`WX_API_CERT_PATH`、`WX_API_SYMMETRIC_KEY` |
| | 安装依赖 `pip install cryptography` |
| | 实现签名工具类 `app/utils/wx_api_sign.py` |
| | 在需要签名的 API 调用中集成签名逻辑 |

> 详细使用说明见 [`docs/deployment/wx-api-security-guide.md`](wx-api-security-guide.md)

微信 API 安全提供了四样材料：

| 材料 | 用途 | 存放位置 |
|------|------|----------|
| 证书编号（SN） | 请求头标识 | `.env.local` 的 `WX_API_CERT_SN` |
| `.cer` 证书文件 | 验证微信响应签名 | `D:\NeoZQYY\secrets\wx_api_cert.cer` |
| 对称密钥（AES Key） | 解密敏感数据（如手机号） | `.env.local` 的 `WX_API_SYMMETRIC_KEY` |
| 非对称密钥（RSA 私钥） | 对请求签名 | `D:\NeoZQYY\secrets\wx_api_private_key.pem` |

安全要求：
- 私钥文件和对称密钥绝对不能提交到 Git
- `D:\NeoZQYY\secrets\` 目录已在 `.gitignore` 和 `server-exclude.txt` 中排除
- 证书有有效期，到期前需在微信后台重新申请

## 同时更新 3.4 密钥配置，补充以下条目：

| | `WX_API_CERT_SN` 写入服务器 `.env.local` |
| | `WX_API_SYMMETRIC_KEY` 写入服务器 `.env.local` |
| | RSA 私钥文件放到 `D:\NeoZQYY\secrets\` |