Let's Encrypt 根证书和中间证书

将构成 Let's Encrypt 基础的密钥和证书已经生成。这在今天一个安全的设施中通过密钥仪式完成。以下对象已创建：

• ISRG 根的密钥对和自签名证书
• ISRG 根的 OCSP 的密钥对和证书
• 两个 Let's Encrypt 中间 CA 的密钥对和证书
• ISRG 根下的 CRL，表明 Let's Encrypt 中间证书未被吊销

当然，证书可以公开发布在公钥之上

• ISRG 根 X1 证书
• Let's Encrypt 中间 X1 CA 证书
• Let's Encrypt 中间 X2 CA 证书

Let's Encrypt 将从其中间 CA 向订阅者颁发证书，使我们能够将根 CA 安全地离线保存。IdenTrust 将交叉签名我们的中间证书。这将使我们的最终证书在传播我们自己的根证书时，被所有主流浏览器接受。

在正常情况下，由 Let's Encrypt 颁发的证书将来自“Let's Encrypt 中间 X1”。另一个中间证书“Let's Encrypt 中间 X2”与我们的灾难恢复站点相关联，只有在我们无法使用“Let's Encrypt 中间 X1”颁发证书时才会使用。

ISRG 根 CA 和 Let's Encrypt 中间 CA 的私钥存储在硬件安全模块 (HSM) 上，这些模块提供高度保护，防止密钥被盗。

所有 ISRG 密钥目前都是 RSA 密钥。我们计划在今年晚些时候生成 ECDSA 密钥。

这些密钥和证书的生成是让 Let's Encrypt 准备好颁发证书的重要一步。在接下来的几周内，我们将进一步介绍我们的上线计划。在此期间，我们希望您能 参与其中。