部署S-MIME證書可以加密郵件內(nèi)容（主題不能加密），Thunderbird似乎僅支持RSA證書，并要求客戶端證書必須提供email對(duì)象替代名稱（SAN）。

（1）首先生成CA證書：

將CA證書導(dǎo)入雙方證書庫(kù)。

（2）生成加密證書：

（3）生成簽名證書：

對(duì)應(yīng)的SAN配置如下：

這個(gè)簽名證書可以在client_a、client_b兩個(gè)郵箱間使用。各個(gè)客戶端之間的證書可以不同（不同的CN），但SAN必須包含全部收發(fā)件郵箱，否則在發(fā)送時(shí)會(huì)報(bào)錯(cuò)。

（4）安裝證書。