Ottenere un certificato S/MIME personale è un processo in più fasi. Questo articolo riporta le procedure manuali per ottenere tale certificato.

Creare la propria chiave pubblica e segreta

Per utilizzare la crittografia end-to-end e le firme digitali con la tecnologia S/MIME, è necessario un certificato personale.

Un certificato è costituito da una coppia di chiavi: una chiave segreta (privata) e una chiave pubblica. Le chiavi verranno create casualmente da Thunderbird. La chiave privata verrà memorizzata da Thunderbird, eventualmente protetta da una password principale. La chiave pubblica verrà inclusa nel certificato. Prima di ottenere il certificato, la chiave pubblica deve essere inviata a un'Autorità di certificazione ("Certificate Authority" o CA) come parte di una Richiesta di firma del certificato ("Certificate Signing Request" o CSR), che Thunderbird creerà per conto dell'utente.

1. Fare clic sul pulsante dei menu ≡ > Impostazioni account > Crittografia end-to-end per l'account email o l'identità desiderata.
2. Scorrere verso il basso fino alla sezione S/MIME e fare clic su Genera e salva un file CSR come…

Per prima cosa, selezionare una directory e un nome file per il testo della CSR. Prendere nota della directory e del nome del file perché nel paragrafo successivo (Ottenere un certificato utilizzando la propria chiave pubblica dalla propria Autorità di certificazione (CA)), si dovrà inviare quel file a un'Autorità di certificazione.

In secondo luogo, all'utente verranno poste diverse domande sul tipo di crittografia e sulla robustezza del certificato S/MIME che desidera ottenere. Utilizzare le impostazioni predefinite, a meno che non si sia esperti con requisiti specifici.

Dopo aver risposto a tutte le domande, tramite Thunderbird verrà generata una nuova coppia di chiavi casualmente. È necessario attendere pazientemente in quanto si tratta di un processo di calcolo complesso. Durante il processo, Thunderbird potrebbe sembrare bloccato per alcuni secondi, ma sui computer non obsoleti, il processo dovrebbe concludersi entro un minuto.

Al termine dell'operazione, tramite Thunderbird verrà mostrato un messaggio che conferma che la procedura di generazione della coppia di chiavi è andata a buon fine.

Ottenere un certificato utilizzando la propria chiave pubblica dalla propria Autorità di certificazione (CA)

Il passaggio successivo consiste nel contattare un'Autorità di certificazione (CA ovvero "Certificate Authority") di propria scelta. Se si è associati a un'azienda o a un'organizzazione, si potrebbe chiedere al proprio staff quale CA si dovrebbe utilizzare. Se invece si agisce come singolo individuo, si potrebbe cercare sul Web le CA che emettono certificati S/MIME e che accettano una CSR. Al momento, tramite Thunderbird non viene consigliata alcuna Autorità di certificazione specifica.

La procedura per ottenere un certificato potrebbe richiedere la creazione di un account utente presso un'Autorità di certificazione, la registrazione dei propri dati personali, l'impostazione di un metodo di pagamento e, di solito, la verifica del proprio indirizzo email.

Infine, la CA dovrebbe chiedere all'utente di inviare la sua CSR (Richiesta di firma del certificato). A questo punto, aprire il file descritto nel paragrafo precedente (Creare la propria chiave pubblica e segreta) che Thunderbird aveva salvato in precedenza. Il proprio computer dovrebbe mostrare il contenuto del file. La prima riga del file conterrà il testo:

-----BEGIN CERTIFICATE REQUEST-----

Selezionare l'intero contenuto del file e utilizzare il comando Copia per copiare tutto il testo. Quindi tornare al sito web della propria CA (ad esempio, al modulo web nel proprio browser, sulla pagina web della CA, che chiede di inviare la CSR), incollare il testo e continuare.

Dopo aver inviato correttamente il file alla CA, questa dovrebbe notificare all'utente che il certificato è stato emesso o che verrà emesso a breve. L'Autorità di certificazione potrebbe offrire all'utente il certificato per il download immediato o in un secondo momento, oppure inviarglielo via email.

Salvare il file del certificato ricevuto dalla propria CA e prendere nota di dove lo si è salvato. Se si utilizza Firefox, verrà salvato nella directory di download configurata nelle impostazioni di Firefox (ad esempio la cartella Download).

Se si esegue il download da una pagina web tramite il proprio browser, controllare se la pagina elenca ulteriori certificati intermedi, che si potrebbero dover scaricare.

Importare il certificato in Gestione certificati ed eseguirne il backup

1. Fare clic su ≡ > Impostazioni account > Crittografia end-to-end per l'account email o l'identità utilizzata in precedenza.
2. Fare clic su Gestione certificati S/MIME. Se la finestra Gestione certificati è troppo piccola, trascinare l'angolo inferiore destro per ingrandirla.
3. La finestra Gestione Certificati presenta cinque schede nella parte superiore. Fare clic sulla scheda Persone > pulsante Importa… in basso. Selezionare il file ottenuto dalla CA e confermare. Se l'importazione è andata a buon fine, non verranno visualizzate ulteriori informazioni e si tornerà semplicemente alla finestra Gestione certificati. Poiché in Thunderbird è stata memorizzata la chiave segreta corrispondente (creata durante le fasi iniziali di questo processo), il programma dovrebbe essere in grado di combinarla con il certificato appena importato.
4. Se la propria CA ha offerto ulteriori certificati intermedi (o subordinati) da scaricare, fare clic sulla scheda Autorità, fare clic sul pulsante Importa… e importali uno dopo l'altro. Tenere presente che quando si importa una CA in questa sezione, tramite Thunderbird verrà chiesto di contrassegnarla come attendibile e si verrà avvisati dei rischi associati. Lasciare le caselle deselezionate, NON selezionarle. Confermare facendo clic su OK, verrà importato il certificato CA intermedio senza considerarlo attendibile in modo esplicito (spiegazione: non è necessario assegnare un'attendibilità esplicita a un certificato intermedio, poiché viene utilizzato solo per individuare un percorso dal certificato di una persona a un certificato CA radice attendibile).
5. Sempre in Gestione certificati, fare clic su Certificati personali. Si dovrebbe visualizzare nell'elenco il proprio nuovo certificato personale.
6. Prima di uscire dalla finestra Gestione certificati, è fondamentale eseguire il backup (copia di sicurezza) della chiave e del certificato su un disco diverso:
   1. Selezionare la voce che mostra il proprio nuovo certificato personale e fare clic su Backup.
   2. Selezionare la directory e il nome del file in cui verrà archiviato il backup.
   3. Quindi, seguire i passaggi visualizzati sullo schermo, che includono la definizione di una password a scelta dell'utente per proteggere il file di backup e per completare la procedura di backup. Assicurarsi di salvare il file di backup in una posizione appropriata, ad esempio un'unità flash su cui si conservano i backup importanti e salvare la password in un luogo sicuro, come il proprio gestore password.

Configurare Thunderbird per utilizzare la sicurezza S/MIME

1. Fare clic su ≡ > Impostazioni account > Crittografia end-to-end per l'account email o l'identità utilizzata in precedenza.
2. Nella sezione sotto l'intestazione S/MIME, sono presenti due caselle di selezione denominate Certificato personale per la firma digitale e Certificato personale per la crittografia. Fare clic sul pulsante Seleziona… a destra.
3. Verrà visualizzato un elenco con i propri certificati personali per questo indirizzo email. Il certificato che si è appena ottenuto dovrebbe essere disponibile in tale elenco. Selezionarlo e confermarlo. Tramite Thunderbird potrebbe essere richiesto di utilizzare lo stesso certificato sia per la crittografia che per la firma, richiesta che di solito si dovrebbe confermare.

Da questo momento si dovrebbe essere in grado di utilizzare il proprio certificato personale per inviare email firmate digitalmente. I destinatari delle proprie email firmate dovrebbero essere in grado di inviarvi email crittate utilizzando la tecnologia S/MIME, a condizione che il certificato non sia scaduto. Quando il certificato sarà scaduto, si dovrà ripetere la procedura per ottenere un nuovo certificato personale.