获取个人 S/MIME 证书需分步操作：

生成公私密钥对

使用 S/MIME 技术进行端到端加密和数字签名需要个人证书。

证书包含密钥对：私钥和公钥。密钥将由 Thunderbird 随机生成，私钥由 Thunderbird 存储（可选通过 主密码 保护），公钥将包含在证书中。获取证书前，需通过 Thunderbird 生成的证书签名请求(CSR)将公钥提交给 证书颁发机构(CA)。

1. 点击≡ > 账户设置 > 端到端加密（选择对应邮箱账户或身份）。
2. 滚动至S/MIME部分：点击生成并保存CSR文件...

首先选择 CSR 文本的存储路径和文件名。请记录文件的存储路径和名称，使用公钥从证书颁发机构（CA）获取证书，后续步骤需将此文件提交给 CA。

接着回答关于 S/MIME 证书加密类型和强度的技术问题（非专家建议使用默认值）。

密钥生成过程需耐心等待（现代计算机通常在一分钟内完成），Thunderbird 将在操作完成后显示确认信息。

通过 CA 获取证书

联系您选择的 CA 机构（企业用户可咨询内部 IT，个人用户需自行搜索支持 CSR 的 S/MIME 证书 CA）。申请流程通常包括：

• 注册 CA 用户账户
• 填写个人信息
• 设置支付方式
• 邮箱验证

提交 CSR 时，请打开前步骤保存的文件（首行为-----BEGIN CERTIFICATE REQUEST-----），全选复制内容并粘贴到 CA 网站的指定表单中。成功提交后，CA 将通过下载或邮件方式发放证书（请记存储位置）。使用 Firefox 浏览器时默认保存在 下载 文件夹。

导入证书并备份

1. 点击 ≡ > 账户设置 > 端到端加密（选择您之前使用的邮箱账户或身份）。
2. 点击 管理S/MIME证书。如果 证书管理器 窗口太小，可拖动右下角来调整窗口大小。
3. 证书管理器 顶部有五个标签页。点击 个人 标签页 > 底部点击 导入 按钮。选择您从 CA 获得的文件并确认。导入成功后将直接返回证书管理器窗口（无额外提示信息）。由于 Thunderbird 已存储对应的私钥（在初始步骤中创建），此时应能将其与刚导入的证书配对。
4. 如果 CA 提供了额外的中间（或次级）证书，点击 颁发机构 标签页 > 点击 导入 按钮。逐个导入这些证书。注意：导入 CA 证书时，Thunderbird 会提示是否标记为受信任并显示相关风险警告。请保持复选框未选中状态，不要勾选。点击 确定 导入中间 CA 证书但不显式信任。（说明：无需显式信任中间证书，它仅用于建立从个人证书到受信任根 CA 证书的路径）。
5. 仍在 证书管理器 中，点击 您的证书 标签页。您应在列表中看到新的个人证书。
6. 退出 证书管理器 前，必须将密钥和证书安全备份到其他磁盘：
   1. 选中显示新个人证书的条目，点击 备份。
   2. 选择备份文件的存储目录和文件名。
   3. 按照屏幕提示完成备份流程（包括设置保护备份文件的密码）。
   4. 确保将备份文件保存在安全位置（如存放重要备份的 U 盘）。
   5. 将密码保存在安全的地方（如密码管理器）。

配置 Thunderbird 使用 S/MIME

1. 点击 ≡ > 账户设置 > 端到端加密（选择您之前使用的邮箱账户或身份）。
2. 在 S/MIME 标题下方的区域，您会看到两个选择框：

用于数字签名的个人证书 和 用于加密的个人证书。点击右侧的 选择... 按钮。

1. 系统将显示该邮箱地址对应的个人证书列表。您刚获取的证书应出现在列表中。选择该证书并确认。Thunderbird 可能会询问是否将同一证书同时用于加密和签名，通常您应该确认此操作。

现在您可以使用个人证书发送数字签名邮件。只要证书未过期，收到您签名邮件的联系人就能使用 S/MIME 技术向您发送加密邮件。证书过期后，您需要重新申请新的个人证书。