温馨提示:
本文所述内容具有依赖性,可能因软硬条件不同而与预期有所差异,故请以实际为准,仅供参考。
我是谁
S/MIME 全称 Secure Multipurpose Internet Mail Extensions(安全的多用途 Internet 邮件扩展),是一种 Internet 标准,它在安全方面对 MIME 协议进行了扩展,可以将 MIME 实体(比如数字签名和加密信息等)封装成安全对象,为电子邮件应用增添了消息真实性、完整性和保密性服务。S/MIME 不局限于电子邮件,也可以被其他支持 MIME 的传输机制使用,如 HTTP。
哪里来
申请
目前提供免费 S/MIME 证书的厂商不多,了解到的是一家意大利安全证书厂商 Actalis S.p.A(Aruba 集团旗下,1 年有效期)和 Sectigo(以前称为 Comodo,1 个月试用)。
以 Actalis 为例,打开 S/MIME 证书申请页面,填写要申请 S/MIME 的邮箱,并点击 Send Verification Email 发送验证邮件:
登录邮箱,接收验证邮件:
将邮箱验证码输入 Verification code 中,并输入网页验证码,注意验证邮件可能会被收到垃圾邮件中:
同意一些条款,然后 Submit request 提交:
提交成功后会显示一串密码,请务必记住,否则申请的证书将无法安装:
回到邮箱,稍等一会儿就会收到证书签发邮件了:
安装
将收到的签发邮件的附件下载下来,解压后是一个 .pfx 为后缀的个人交换文件,证书安装 / 导入在各个系统下大同小异,关键点在于密钥是前面提交成功后显示的一串字符。
以 Windows 为例,基本上是点下一步下一步完成导入:
做什么
S/MIME 证书最基本的作用就是进行电子邮件签名和加密。除此外还可以用于 PDF 文档签名、OpenOffice 文档签名、网站免密登录等等场景,下面我们来分别看看。
不管应用于什么场景,都需要有相应的媒介支持。比如对于邮件签名,Gmail、Outlook、Thunderbird、MeSince、Apple Mail 等客户端原生支持 S/MIME 证书,可以直接对邮件进行签名或者验证签名,而国内的 Foxmail、网易邮箱大师等等是不支持的,既无法签名也无法验证签名,甚至邮件打开只有一个附件。
邮件签名
以 Outlook 2016 为例,发送接收与未签名邮件一模一样的操作,唯一区别在于写邮件界面 - 选项 - 权限里可以选择是否要签署(签名):
如果与收件人已经有过签名邮件往来(交换密钥),还可以使用加密功能(启用加密后,如果更换到另一个不支持 S/MIME 的客户端,邮件内容将变成类似只有一个 smime.p7m 附件的邮件)。
需要注意的是不管是加密还是签署,默认的 S/MIME 证书是 CN 是发件人邮箱的证书,不可以手动选。
查看邮件,也可以很清楚看到,有签名的邮件多了签署图标,并且邮件内容里也显示了签名者是谁,点击可以显示签名具体信息。
Outlook 关于 S/MIME 的相关说明,可以参考 Microsoft 支持写的文档:《使用 Web 版 Outlook 中的 S/MIME 加密邮件》
需要注意的是,首次发送邮件不可以加密,只能签名,互相发送一次签名邮件后,就可以使用邮件加密了。
PDF 签名
目前 PDF 支持 S/MIME 签名的软件不多,常见就是 Adobe Acrobat(支持签名和验证)、Adobe Reader(支持验证),目前 PDF 签名用途最广泛的就是电子发票。
以 Adobe Acrobat XI 为例,在签名面板直接点使用证书进行签名,然后选定签名位置后选择证书,其中外观是可以自定义的,还可以选择是否锁定 PDF 修改功能:
通过 Adobe Reader 或 Acrobat 打开,可以看到签名详情:
其他不支持 S/MIME 的客户端打开则和其他未签名的 PDF 显示无异。
Adobe 关于 S/MIME 的相关说明,可以参考Adobe 的文档《Securing PDFs with certificates, Adobe Acrobat - Adobe Support》
网站验证
后续再专门写篇文章介绍。
参考文章:
1、《FAQ on S/MIME - secorio》
2、《Sources of Free S/MIME Certificates》
3、《Certificates for S/MIME secure electronic mail》
4、《手把手教你如何用SMIME加密任意邮件》
