Plusieurs étapes sont nécessaires pour obtenir un certificat S/MIME personnel.

Créer vos clés publique et secrète

Un certificat personnel est requis pour utiliser le chiffrement de bout en bout et les signatures numériques avec la technologie S/MIME.

Un certificat est composé d’une paire de clés : une clé secrète et une clé publique. Ces clés sont générées aléatoirement par Thunderbird. La clé privée est stockée par Thunderbird, éventuellement protégée par un mot de passe principal. La clé publique est incluse dans le certificat. Avant d’obtenir votre certificat, la clé publique doit être soumise à une autorité de certification (AC) dans le cadre d’une requête de signature de certificat (Certificate Signing Request, CSR), que Thunderbird crée pour vous.

1. Cliquez successivement sur ≡, Paramètres des comptes et Chiffrement de bout en bout pour le compte de courrier ou l’identité voulu.
2. Allez à la section S/MIME et cliquez sur Générer et enregistrer un fichier CSR sous…

Tout d’abord, sélectionnez un répertoire et un nom de fichier pour le texte CSR. Prenez note du répertoire et du nom de fichier car à l’étape suivante, Obtenir un certificat en utilisant sa clé publique auprès de son autorité de certification (AC), vous soumettrez ce fichier à une AC.

Ensuite, plusieurs questions vous sont posées concernant le type cryptographique et la force du certificat S/MIME que vous souhaitez obtenir. Utilisez les valeurs par défaut, sauf si votre expertise vous permet des exigences spécifiques.

Après avoir répondu à toutes les questions, Thunderbird génère aléatoirement une nouvelle paire de clés. Attendez patiemment. Il s’agit d’un processus de calcul intensif. Pendant ce moment, Thunderbird peut sembler bloqué durant quelques secondes, mais l’opération doit s’effectuer en moins d’une minute sur les ordinateurs modernes.

Thunderbird affiche une confirmation quand la génération est terminée.

Obtenir un certificat en utilisant sa clé publique auprès de son autorité de certification (AC)

L’étape suivante consiste à contacter une autorité de certification de votre choix. Si vous dépendez d’une entreprise ou d’une organisation, vous pouvez demander à son personnel quelle autorité de certification vous devez utiliser. Si vous agissez en tant qu’individu, vous pouvez rechercher sur le Web des autorités de certification qui délivrent des certificats S/MIME et qui acceptent une CSR (actuellement, Thunderbird ne recommande aucune AC précise).

Le processus pour obtenir un certificat peut nécessiter la création d’un compte utilisateur auprès d’une autorité de certification, l’enregistrement de vos détails personnels, la configuration d’une méthode de paiement et habituellement une vérification de votre adresse e-mail.

Finalement, l’autorité de certification devrait vous demander de soumettre votre CSR. À ce moment, ouvrez le fichier obtenu à l’étape précédente Créer vos clés publique et secrète, que Thunderbird avait enregistré précédemment. Votre ordinateur devrait vous montrer le contenu du fichier. La première ligne du fichier contient le texte :
-----BEGIN CERTIFICATE REQUEST-----.

Sélectionnez le contenu entier du fichier et utilisez la commande Copier pour copier tout le texte. Revenez ensuite au site web de votre autorité de certification (par exemple au formulaire web dans votre navigateur, sur la page web de l’autorité de certification qui réclame l’envoi du CSR), collez le texte et poursuivez.

Après avoir soumis votre fichier avec succès à l’autorité de certification (AC), celle-ci devrait vous notifier que le certificat a été émis ou sera émis prochainement. Elle peut vous proposer de télécharger le certificat immédiatement ou ultérieurement, ou encore vous l’envoyer par e-mail.

Enregistrez le fichier du certificat que vous avez reçu de votre autorité de certification et rappelez-vous de l’endroit où vous l’enregistrez. Si vous utilisez Firefox, il est enregistré dans le dossier de téléchargement configuré dans les paramètres Firefox (comme votre dossier Téléchargements).

Si vous téléchargez depuis une page web en utilisant votre navigateur, vérifiez si cette page liste des certificats intermédiaires supplémentaires, que vous pourriez également devoir télécharger.

Importer le certificat dans le gestionnaire de certificats et le sauvegarder

1. Cliquez successivement sur ≡, Paramètres des comptes et Chiffrement de bout en bout pour le compte de courrier ou l’identité utilisé aux étapes précédentes.
2. Cliquez sur Gestion des certificats S/MIME. Si la fenêtre du Gestionnaire des certificats est trop petite, agrandissez-la en tirant son coin inférieur droit.
3. Le gestionnaire des certificats affiche cinq onglets en haut. Cliquez sur l’onglet Personnes puis sur le bouton Importer… en bas. Sélectionnez le fichier obtenu auprès de l’autorité de certification et confirmez. Si l’importation a réussi, aucune autre information ne s’affiche, vous retournez simplement à la fenêtre du gestionnaire de certificats. Puisque Thunderbird a enregistré la clé secrète correspondante (créée pendant les premières étapes du processus), Thunderbird doit avoir pu l’associer avec le certificat que vous venez d’importer.
4. Si votre autorité de certification vous a offert des certificats intermédiaires additionnels (ou subordonnés) au téléchargement, cliquez sur l’onglet Autorités, sur le bouton Importer et importez-les l’un après l’autre. Notez que, lors de l’importation d’une autorité de certification à cet emplacement, Thunderbird propose de marquer l’AC comme étant de confiance et vous prévient aussi des risques associés. Laissez ces cases vierges, ne les cochez pas. Confirmez en cliquant sur OK ce qui importe l’autorité de certification intermédiaire sans lui accorder explicitement la confiance (explication : il n’est pas nécessaire de donner une confiance explicite à un certificat intermédiaire, car il ne sert qu’à découvrir le chemin d’un certificat personnel jusqu’au certificat d’une autorité de certification racine).
5. Toujours dans le gestionnaire de certificats, cliquez sur l’onglet Vos certificats. Votre nouveau certificat personnel doit figurer dans la liste.
6. Avant de quitter le gestionnaire de certificats, il est d’une importance cruciale de sauvegarder de façon sûre votre clé et votre certificat sur un disque différent :
   1. Sélectionnez l’entrée qui affiche votre nouveau certificat personnel et cliquez sur Sauvegarder…
   2. Sélectionnez le dossier où la sauvegarde sera enregistrée ainsi que le nom du fichier.
   3. Suivez alors les instructions données à l’écran, qui comprennent la définition d’un mot de passe de votre convenance pour protéger le fichier de sauvegarde, pour achever la procédure de sauvegarde. Assurez-vous d’enregistrer ce fichier dans un emplacement approprié, comme un disque externe sur lequel vous conservez les sauvegardes importantes et enregistrez le mot de passe dans un endroit sûr comme votre gestionnaire de mot de passe.

Configurer Thunderbird pour utiliser la sécurité de S/MIME

1. Cliquez successivement sur ≡, Paramètres des comptes et Chiffrement de bout en bout pour le compte de courrier ou l’identité utilisé aux étapes précédentes.
2. Dans la section S/MIME, se trouvent deux zones de sélection étiquetées Certificat personnel pour la signature numérique : et Certificat personnel pour le chiffrement :. Cliquez sur le bouton Sélectionner… à droite.
3. Une liste s’affiche avec vos certificats personnels pour cette adresse e-mail. Le certificat que vous venez d’obtenir doit y être proposé. Sélectionnez-le et confirmez. Thunderbird peut vous demander d’utiliser le même certificat pour le chiffrement et la lecture, ce que d’ordinaire vous devez confirmer.

Vous devez maintenant pouvoir utiliser votre certificat personnel pour envoyer des e-mails signés numériquement. Les destinataires de votre e-mail signé doivent pouvoir vous envoyer des e-mails chiffrés en utilisant la technologie S/MIME, tant que le certificat n’a pas expiré. Une fois le certificat expiré, vous devez répéter la procédure pour obtenir un nouveau certificat personnel.