ServBay

简体中文

English
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Français
Tiếng Việt
Türkçe
Italiano

简体中文

English
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Français
Tiếng Việt
Türkçe
Italiano

Appearance

如何申请和使用 S/MIME 邮件签名证书

作为一名开发者,安全通信至关重要。S/MIME 是一种广泛采用的电子邮件安全标准,它允许您对发送的邮件进行数字签名和加密。通过数字签名,收件人可以验证邮件确实来自您本人,并且内容未被篡改;通过加密,只有拥有正确私钥的收件人才能读取邮件内容,保护敏感信息不被泄露。

本文将指导您如何在 ServBay 这个强大的本地 Web 开发环境中,利用内置的证书管理功能,快速申请和使用 S/MIME 邮件签名证书,从而提升您的电子邮件安全等级。

S/MIME 邮件签名证书简介

S/MIME(Secure/Multipurpose Internet Mail Extensions)是一种基于公钥基础设施 (PKI) 的电子邮件安全技术标准。它利用数字证书(即 S/MIME 证书)来实现电子邮件的数字签名和加密。

S/MIME 证书的核心作用:

  • 数字签名: 使用您的私钥对邮件内容计算摘要并签名。收件人可以使用您证书中的公钥来验证签名,确认邮件的发送者身份以及内容在传输过程中是否被修改。这提供了邮件真实性完整性的保证。
  • 邮件加密: 使用收件人证书中的公钥加密邮件内容。只有收件人使用其对应的私钥才能解密邮件。这提供了邮件机密性的保证,防止邮件内容被截获后泄露。
  • 提升信任: 在支持 S/MIME 的邮件客户端中,经过有效数字签名的邮件通常会显示一个信任标志,帮助收件人识别合法邮件,降低钓鱼邮件的风险。

对于开发者而言,S/MIME 可用于保护包含代码、项目细节、API 密钥或其他敏感信息的邮件交流。

前提条件

在开始之前,请确保您满足以下条件:

  • 您已成功安装并运行 ServBay 本地开发环境(本文基于 macOS 操作系统进行说明)。
  • 您拥有一个有效的电子邮件地址,该地址将与您的 S/MIME 证书关联。

通过 ServBay 申请 S/MIME 邮件签名证书

ServBay 提供了便捷的证书管理界面,您可以通过内置的 ServBay CA 快速签发用于本地开发、测试或个人使用的 S/MIME 证书。

  1. 打开 SSL 证书管理面板: 启动 ServBay 应用程序。在 ServBay 主界面的侧边栏中,点击 "SSL Certificates" 选项。这将打开 ServBay 的证书管理界面。
  2. 点击添加按钮: 在 SSL 证书管理页面的右上角,找到并点击 "+"(添加)按钮。
  3. 填写证书信息: 在弹出的 "Request Certificate"(申请证书)页面中,您需要填写以下关键信息:
    • Common Name: 填写您的姓名或您希望在证书中显示的名称。例如:ServBay Demo User
    • Usage Purpose: 选择证书的用途。请务必选择 S/MIME (E-mail Signing)
    • Request Method: 选择证书申请方式。选择 ServBay CA,表示使用 ServBay 内置的证书颁发机构。
    • Issuer: 选择签发机构。对于 S/MIME 证书,通常选择 ServBay User CA。ServBay User CA 专用于签发用户个人的、非公开信任的证书。
    • Algorithm: 选择加密算法。推荐使用更现代且安全的 ECC (Elliptic Curve Cryptography),或者选择传统的 RSA
    • Key Length: 选择密钥长度。对于 ECC,推荐 384 位或更高;对于 RSA,推荐 2048 位或更高,以确保足够的安全性。
    • Password: 【极其重要!】 设置一个强密码来保护您的证书私钥。此密码用于导出证书以及在邮件客户端中导入证书时解锁私钥。请务必牢记此密码,因为 ServBay 不存储此密码,一旦丢失将无法恢复,您将需要重新申请证书。默认密码是 ServBay.dev强烈建议您设置一个更安全的自定义密码。
    • E-Mail Address: 填写与此证书关联的电子邮件地址。这是 S/MIME 证书的核心标识之一。
  4. 点击 "Request" 按钮: 仔细核对填写的信息无误后,点击页面底部的 "Request" 按钮。ServBay 将立即使用内置的 ServBay User CA 为您签发 S/MIME 证书。

ServBay 申请 S/MIME 邮件签名证书界面(图片示意:展示填写 S/MIME 证书申请表单的界面)

签发成功后,您的新 S/MIME 证书将出现在 SSL 证书管理列表中。

证书导出和使用

成功申请证书后,您需要将其导出为邮件客户端可识别的格式,并导入到您的电子邮件客户端中。

  1. 进入 SSL 证书管理面板: 在 ServBay 侧边栏点击 "SSL Certificates"。
  2. 找到签发的 S/MIME 证书: 在证书列表中找到您刚刚签发的 S/MIME 证书(可以通过 Common Name 或 Email Address 识别)。
  3. 点击操作按钮: 在该证书条目的右侧,点击导出图标(通常是一个向右箭头的图标)。
  4. 选择导出目录并保存: 在弹出的文件保存对话框中,选择您希望将证书文件保存到的本地目录,并为文件命名。导出的证书文件通常是 .p12.pfx 格式,这是一种包含公钥证书和私钥的加密文件。
  5. 导入到邮件客户端: 打开您常用的电子邮件客户端应用程序(例如 Apple Mail, Microsoft Outlook, Mozilla Thunderbird 等)。查找其设置或偏好设置中关于“账户”、“安全”或“证书”的部分。选择导入证书的选项,然后选择您刚刚导出的 .p12 文件。在导入过程中,系统会提示您输入之前设置的证书私钥密码。输入正确密码后,证书将被成功导入并关联到您的电子邮件账户。

在邮件客户端中使用 S/MIME 进行加密(图片示意:展示在邮件客户端撰写邮件时选择 S/MIME 签名或加密的选项)

导入证书后,您的邮件客户端通常会在撰写新邮件时提供数字签名和/或加密的选项。您可以根据需要选择是否对当前邮件进行签名或加密。请注意,要发送加密邮件,您需要拥有收件人的 S/MIME 证书(即收件人的公钥)。

使用 S/MIME 加密后的邮件显示效果(图片示意:展示收件人在邮件客户端中看到已签名或已加密邮件时的显示效果)

证书续期

通过 ServBay User CA 签发的 S/MIME 证书,其有效期默认为 800 天。为了保持证书的有效性,您需要在证书到期前进行续期操作。

  1. 进入 SSL 证书管理面板。
  2. 找到需要续期的 S/MIME 证书。
  3. 点击续期按钮: 在证书条目的右侧,找到并点击续期图标(通常是循环箭头的图标)。
  4. 确认续期: ServBay 会提示您确认续期操作。确认后,证书的有效期将从当前日期起延长 800 天。续期操作后,您需要重新导出和导入证书到邮件客户端。

证书删除

如果您不再需要某个 S/MIME 证书,可以将其从 ServBay 中删除。

  1. 进入 SSL 证书管理面板。
  2. 找到需要删除的证书。
  3. 点击操作按钮: 在证书条目的右侧,找到并点击删除图标(通常是垃圾桶图标)。
  4. 确认删除: 在弹出的菜单中选择 "Delete",并根据提示确认删除操作。请注意,删除证书后,ServBay 将不再保留其副本。如果该证书已被导入到邮件客户端,删除 ServBay 中的记录不会自动从邮件客户端中移除证书,您需要在邮件客户端中手动删除或禁用。

注意事项

  • 私钥安全: S/MIME 证书的安全性取决于其私钥的安全性。请务必设置一个强密码保护您的私钥,并且不要将包含私钥的 .p12 文件分享给任何人。
  • ServBay User CA 的信任问题: 通过 ServBay User CA 签发的证书是私有的 CA 签发,不被公共信任。当您使用此类证书签名的邮件发送给外部收件人时,对方的邮件客户端可能会显示签名不受信任的警告。这对于内部团队或测试环境是可接受的,但如果您需要广泛的外部信任,您可能需要从公共 CA 购买 S/MIME 证书。ServBay 的 ACME 功能目前主要支持为网站申请公共信任的 SSL 证书,不支持为 S/MIME 证书申请公共信任。
  • 证书与邮箱地址绑定: S/MIME 证书与特定的电子邮件地址紧密关联。如果您更改了电子邮件地址,您需要申请一个新的 S/MIME 证书。
  • 密码丢失: 如前所述,证书私钥密码丢失后无法恢复。请务必妥善保管。

常见问题解答 (FAQ)

Q1: 我忘记了 S/MIME 证书的私钥密码怎么办?

A: 很抱歉,ServBay 不存储您的私钥密码,也无法帮助您恢复。如果您忘记了密码,包含私钥的证书文件将无法使用。您需要删除 ServBay 中对应的证书记录,然后重新申请一个新的 S/MIME 证书。

Q2: 我使用 ServBay 签发的 S/MIME 证书发送邮件,收件人看到“签名不受信任”的警告,这是为什么?

A: 这是因为 ServBay User CA 是一个本地的、非公共信任的证书颁发机构。除非收件人也信任您的 ServBay User CA(例如,在同一个组织内部手动安装并信任该 CA 证书),否则他们的邮件客户端不会自动信任由此 CA 签发的证书签名。这属于正常现象,表明签名是有效的,但签发机构不被公共列表信任。

Q3: 如果我更改了电子邮件地址,之前申请的 S/MIME 证书还能用吗?

A: 不能。S/MIME 证书是与申请时填写的电子邮件地址关联的。如果您更改了邮箱地址,需要使用新的邮箱地址重新申请一个 S/MIME 证书。

总结

通过 ServBay 的 SSL 证书管理功能,申请和管理 S/MIME 邮件签名证书是一个简单快捷的过程。利用 S/MIME,您可以轻松地为您的重要邮件添加数字签名,验证您的身份并确保邮件完整性;或者对敏感邮件内容进行加密,保护您的隐私和数据安全。

立即开始在 ServBay 中申请您的 S/MIME 证书,让您的电子邮件通信更加安全可靠!如果您在操作过程中遇到任何问题,可以查阅 ServBay 的官方文档或联系支持团队获取帮助。