获取个人 S/MIME 证书需分步操作：

生成公私密钥对

使用 S/MIME 技术进行端到端加密和数字签名需要个人证书。

证书包含密钥对：私钥和公钥。密钥将由 Thunderbird 随机生成，私钥由 Thunderbird 存储（可选通过 主密码 保护），公钥将包含在证书中。获取证书前，需通过 Thunderbird 生成的证书签名请求(CSR)将公钥提交给 证书颁发机构(CA)。

1. 点击≡ > 账户设置 > 端到端加密（选择对应邮箱账户或身份）。
2. 滚动至 S/MIME 部分并点击生成并保存CSR文件...

首先选择 CSR 文本的存储路径和文件名。请记录文件的存储路径和名称，使用公钥从证书颁发机构（CA）获取证书，后续步骤需将此文件提交给 CA。

接着回答关于 S/MIME 证书加密类型和强度的技术问题（非专家建议使用默认值）。

密钥生成过程需耐心等待（现代计算机通常在一分钟内完成），Thunderbird 将在操作完成后显示确认信息。

使用您的公钥从证书颁发机构（CA）获取证书

下一步是联系您选择的CA。如果您隶属于某家公司或组织，建议先向同事咨询应选用哪家CA。若以个人身份申请，可在网上搜索能签发S/MIME证书且接受CSR的CA（目前 Thunderbird 不推荐特定CA机构）。

获取证书的过程可能需要您：在CA平台创建用户账户、登记个人信息、设置支付方式，并通常需完成邮箱地址验证。

CA最终会要求您提交CSR文件。此时请打开 Thunderbird 之前保存的文件（参见创建公钥与私钥步骤），系统将显示文件内容。文件首行会包含以下文本：
-----BEGIN CERTIFICATE REQUEST-----

请全选文件内容，使用复制命令拷贝全部文本，然后返回CA网站（例如浏览器中CA页面要求提交CSR的在线表单），粘贴文本并继续操作。

成功向CA提交文件后，您将收到证书已签发或即将签发的通知。CA可能立即提供证书下载，或稍后发送至您的邮箱。

请将CA颁发的证书文件保存至本地，并记住存储位置。若使用 Firefox 浏览器，文件将默认保存在 Firefox 设置中配置的下载目录（如下载文件夹）。

如果通过浏览器网页下载，请确认页面是否列有需要同时下载的中间证书。

导入证书并备份

1. 点击 ≡ > 账户设置 > 端到端加密（选择您之前使用的邮箱账户或身份）。
2. 点击 管理S/MIME证书。如果 证书管理器 窗口太小，可拖动右下角来调整窗口大小。
3. 证书管理器 顶部有五个标签页。点击 个人 标签页 > 底部点击 导入 按钮。选择您从 CA 获得的文件并确认。导入成功后将直接返回证书管理器窗口（无额外提示信息）。由于 Thunderbird 已存储对应的私钥（在初始步骤中创建），此时应能将其与刚导入的证书配对。
4. 如果 CA 提供了额外的中间（或次级）证书，点击 颁发机构 标签页 > 点击 导入 按钮。逐个导入这些证书。注意：导入 CA 证书时，Thunderbird 会提示是否标记为受信任并显示相关风险警告。请保持复选框未选中状态，不要 勾选。点击 确定 导入中间 CA 证书但不显式信任。（说明：无需显式信任中间证书，它仅用于建立从个人证书到受信任根 CA 证书的路径）。
5. 仍在 证书管理器 中，点击 您的证书 标签页。您应在列表中看到新的个人证书。
6. 退出 证书管理器 前，必须将密钥和证书安全备份到其他磁盘：
   1. 选中显示新个人证书的条目，点击 备份。
   2. 选择备份文件的存储目录和文件名。
   3. 按照屏幕提示完成备份流程（包括设置保护备份文件的密码）。
   4. 确保将备份文件保存在安全位置（如存放重要备份的 U 盘）。
   5. 将密码保存在安全的地方（如密码管理器）。

配置 Thunderbird 使用 S/MIME

1. 点击 ≡ > 账户设置 > 端到端加密（选择您之前使用的邮箱账户或身份）。
2. 在 S/MIME 标题下方的区域，您会看到两个选择框：

用于数字签名的个人证书 和 用于加密的个人证书。点击右侧的 选择... 按钮。

1. 系统将显示该邮箱地址对应的个人证书列表。您刚获取的证书应出现在列表中。选择该证书并确认。Thunderbird 可能会询问是否将同一证书同时用于加密和签名，通常您应该确认此操作。

现在您可以使用个人证书发送数字签名邮件。只要证书未过期，收到您签名邮件的联系人就能使用 S/MIME 技术向您发送加密邮件。证书过期后，您需要重新申请新的个人证书。