Het verkrijgen van een persoonlijk S/MIME-certificaat is een proces van meerdere stappen:

Uw publieke en geheime sleutel aanmaken

Een persoonlijk certificaat is vereist voor het gebruik van end-to-end-versleuteling en digitale ondertekeningen met de S/MIME-technologie.

Een certificaat bestaat uit een sleutelpaar: een geheime sleutel en een publieke sleutel. De sleutels worden willekeurig aangemaakt door Thunderbird. De privésleutel wordt opgeslagen door Thunderbird, optioneel beschermd door het Hoofdwachtwoord. De publieke sleutel wordt opgenomen in het certificaat. Voordat u uw certificaat ontvangt, moet de publieke sleutel worden ingediend bij een Certificaatautoriteit (CA) als onderdeel van een Certificate Signing Request (CSR), dat Thunderbird voor u aanmaakt.

1. Klik op ≡ > Accountinstellingen> End-To-end-versleuteling voor de gewenste e-mailaccount of identiteit.
2. Scroll naar S/MIME: klik op Een CSR-bestand aanmaken en opslaan als….

Selecteer eerst een map en een bestandsnaam voor de CSR-tekst. Noteer de map en de bestandnaam, want in de volgende stap, Een certificaat van uw Certificaatautoriteit (CA) verkrijgen met uw publieke sleutel, dient u dit bestand in bij een CA.

Als tweede worden u diverse vragen gesteld over het type cryptografie en sterkte van het S/MIME-certificaat dat u wilt verkrijgen. Gebruik de standaardinstellingen, tenzij u expertise hebt met specifieke vereisten.

Nadat u alle vragen hebt beantwoord, maakt Thunderbird op willekeurige wijze een nieuw sleutelpaar aan. Wees geduldig. Dit is een intensief berekeningsproces. Tijdens het proces kan het lijken dat Thunderbird gedurende een paar seconden vasthangt, maar op moderne computers zou het binnen een minuut voltooid moeten zijn.

Thunderbird toont een bevestiging nadat de bewerking is afgerond.

Een certificaat van uw Certificaatautoriteit (CA) verkrijgen met uw publieke sleutel

De volgende stap is om contact op te nemen met een CA naar keuze. Als u verbonden bent aan een bedrijf of organisatie, kunt u collega’s vragen welke CA u moet gebruiken. Als u als individu optreedt, zoek dan op het web naar CA’s die S/MIME-certificaten uitgeven en die een CSR accepteren (op dit moment raadt Thunderbird geen specifieke CA aan).

Het proces om een certificaat te verkrijgen kan vereisen dat u een gebruikersaccount aanmaakt bij een CA, uw persoonlijke gegevens registreert, een betalingsmethode instelt, en vereist meestal verificatie van uw e-mailadres.

Uiteindelijk zou de CA u moeten vragen uw CSR in te dienen. Open op dat punt het bestand uit de vorige stap, ‘Uw publieke en geheime sleutel aanmaken’, dat Thunderbird eerder heeft opgeslagen. Uw computer zou u de inhoud van het bestand moeten tonen. De eerste regel van het bestand bevat de tekst ‘-----BEGIN CERTIFICATE REQUEST-----’.

Selecteer de volledige inhoud van het bestand en gebruik de kopieeropdracht om alle tekst te kopiëren. Navigeer vervolgens terug naar de website van uw CA (bijvoorbeeld naar het webformulier in uw browser, op de webpagina van de CA, dat u vraagt de CSR in te dienen), plak de tekst en ga verder.

Nadat u het bestand met succes hebt ingediend bij de CA, moet deze u berichten dat het certificaat is uitgegeven of binnenkort wordt uitgegeven. De CA kan aanbieden het certificaat direct of op een later moment te downloaden, of het u toesturen per e-mail.

Bewaar het certificaatbestand dat u hebt ontvangen van uw CA en onthoud waar u het hebt opgeslagen. Als u Firefox gebruikt, wordt het opgeslagen in de downloadmap die is geconfigureerd in uw Firefox-instellingen (b.v. uw map Downloads).

Als u downloadt van een webpagina met uw browser, controleer dan of die pagina aanvullende intermediaire certificaten toont, die u mogelijk ook moet downloaden.

Het certificaat importeren in de Certificaatbeheerder en een reservekopie maken

1. Klik op ≡ > Accountinstellingen> End-to-end-versleuteling voor de e-mailaccount of identiteit die u eerder hebt gebruikt.
2. Klik op S/MIME-certificaten beheren. Als het venster Certificaatbeheerder te klein is, versleep dan de rechterbenedenhoek om het venster te vergroten.
3. Certificaatbeheerder toont bovenaan vijf tabbladen. Klik op het tabblad Personen > knop Importeren onderaan. Selecteer het bestand dat u van de CA hebt verkregen, en bevestig dit. Als het importeren succesvol was, wordt er geen verdere informatie getoond, en keert u gewoon terug naar het venster Certificaatbeheerder. Omdat Thunderbird de overeenkomende geheime sleutel heeft opgeslagen (deze is aangemaakt in de eerste stappen van dit proces), zou Thunderbird deze moeten kunnen combineren met het zojuist geïmporteerde certificaat.
4. Als uw CA u heeft aangeboden om aanvullende intermediaire (of onderliggende) certificaten te downloaden, klik dan op het tabblad Autoriteiten, klik op de knop Importeren en importeer ze na elkaar. Merk op dat als u hier een CA importeert, Thunderbird u aanbiedt een CA als vertrouwd te markeren, en u ook waarschuwt voor de bijbehorende risico’s. Laat de aanvinkvelden NIET aangevinkt. Bevestig door op OK te klikken, wat het intermediaire CA-certificaat importeert zonder het expliciet te vertrouwen. (Uitleg: het is niet nodig om een intermediair certificaat expliciet te vertrouwen, aangezien het alleen wordt gebruikt om een pad van iemands certificaat naar een vertrouwd root-CA-certificaat te vinden.)
5. Klik in het venster Certificaatbeheerder op Uw certificaten. Uw nieuwe persoonlijke certificaat zou in de lijst moeten staan.
6. Voor dat u de Certificaatbeheerder afsluit, is het cruciaal om een veilige reservekopie van uw sleutel en certificaat op een andere schijf te maken:
   1. Selecteer de entry die uw nieuwe persoonlijke certificaat toont, en klik op Reservekopie maken.
   2. Selecteer de map en de bestandsnaam waarin de reservekopie wordt opgeslagen.
   3. Volg vervolgens onderstaande stappen op het scherm, waaronder het opgeven van een wachtwoord naar keuze om het reservekopiebestand te beschermen, om de reservekopieprocedure te voltooien. Zorg ervoor dat u het reservekopiebestand op een passende plaats opslaat, zoals een flashdrive waarop u belangrijke reservekopieën bewaart, en bewaar het wachtwoord op een veilige plek, zoals in uw wachtwoordenbeheerder.

Thunderbird configureren om S/MIME-beveiliging te gebruiken

1. Klik op ≡ > Accountinstellingen> End-to-end-versleuteling voor de e-mailaccount of identiteit die u eerder hebt gebruikt.
2. In de sectie onder de S/MIME-koptekst vindt u twee selectievelden genaamd Persoonlijk certificaat voor digitaal ondertekenen en Persoonlijk versleutelingscertificaat. Klik op de knop Selecteren… aan de rechterkant.
3. Er wordt een lijst met uw persoonlijke certificaten voor dit e-mailadres getoond. Het zojuist verkregen certificaat zou in die lijst moeten staan. Selecteer het en bevestig het. Thunderbird kan u vragen of u hetzelfde certificaat wilt gebruiken voor zowel versleuteling als ondertekening, wat u meestal kunt bevestigen.

U kunt nu uw persoonlijke certificaat gebruiken voor het verzenden van digitaal ondertekende e-mailberichten. Ontvangers van uw ondertekende e-mailbericht kunnen u versleutelde berichten sturen met S/MIME-technologie, zolang het certificaat niet is verlopen. Als het certificaat verloopt, dient u de procedure te herhalen om een nieuw persoonlijk certificaat te verkrijgen.