S/MIME 证书通过提供数字签名和加密来保护电子邮件。然而,确保其顺利维护通常会带来一些微妙的挑战。与网站 TLS 证书不同,S/MIME 密钥在电子邮件客户端内部进行管理,其中密钥处理和客户端行为可能会影响颁发、续期或替换。

本案例研究探讨了桌面电子邮件环境如何在 S/MIME 证书重新签发过程中造成意外障碍。通过详细说明调查和解决方案,它展示了客户端软件和证书工作流程如何相互结合以影响例行的证书管理。
客户端概述
- 组织:YourSky.blue
- 地点:瑞士瓦莱州
- 行业:软件开发和 DevSecOps 解决方案
- 用例:使用 S/MIME 证书进行安全的商业电子邮件通信
- 电子邮件客户端环境:Thunderbird 桌面客户端
关键要点
- 电子邮件客户端可能在内部控制私钥,这可能会限制证书重新签发工作流程。
- S/MIME 证书遵循与网站所用 TLS 证书不同的生命周期。
- 环境或特定于客户端的限制可能会阻止证书重新签发,即使提交了有效的 CSR。
- 重置证书订单有时是恢复有效配置的最快方式。
- 客户端和证书提供商之间的清晰沟通有助于快速解决证书问题。
DevSecOps 环境中的电子邮件安全
YourSky.blue 是一家位于瑞士的组织,提供旨在帮助企业监测软件依赖项、检测漏洞并改进软件供应链安全的服务和产品。
凭借在软件工程和 DevSecOps 方面数十年的综合经验,该团队与依赖可靠和安全数字基础设施的企业合作。
YourSky.blue 依靠安全的电子邮件通信作为日常运营的一部分。为了保护出站消息并验证发件人身份,该公司使用 S/MIME 证书进行数字签名和加密。
S/MIME 证书允许收件人确认消息是由所述发件人发送的,并且其内容在传输过程中没有被篡改。
对于通过电子邮件交换敏感或关键业务信息的企业,这额外的信任层是其通信工作流程的关键部分。
在本例中,证书被部署在使用 Thunderbird 电子邮件客户端的桌面电子邮件环境中。与许多桌面客户端一样,Thunderbird 在内部管理与已安装证书关联的密钥学密钥。
此设置对日常使用很有效,但也意味着证书管理操作(如续期或重新签发)取决于客户端如何处理这些密钥。
S/MIME 重新签发过程出现问题的地方
1 月 14 日,客户请求重新签发用于安全电子邮件通信的 S/MIME 证书,并在支持工单中包含了 证书签名请求 (CSR)
乍一看,请求看起来很常规。重新签发证书通常涉及提交新的 CSR 并通过证书颁发机构完成验证。然而,多个问题很快中断了这一过程。
在讨论中,客户指出 Thunderbird 电子邮件客户端不会暴露与已安装证书关联的私钥。由于这一限制,原始密钥对无法重用,因此必须生成新的 CSR。
阻止重新签发的因素
SSL Dragon 的支持团队确定了两个阻止在现有订单内重新签发证书的条件:
- 原始密钥对无法重用
- 所需参数需要与客户端的内部密钥处理特别一致
因此,证书无法在其当前状态下重新签发。支持团队确定在正确颁发新的 S/MIME 证书之前,证书订单需要重置。

重置证书订单并颁发新的 S/MIME 证书
支持团队没有尝试在现有订单内进行进一步修改,而是取消了活动证书并启动了一个全新的配置过程。
这种方法确保新证书将使用正确的 S/MIME 参数颁发,并确保与调查期间发现的技术要求完全兼容。
取消现有证书订单
第一步是取消与账户关联的活动证书订单。通过关闭现有订单,支持团队清除了阻止重新签发继续进行的不正确的证书状态。
然后向客户账户添加一个新的 S/MIME 证书,以便配置过程可以从干净状态重新开始。
创建新的证书请求
在新订单就位后,客户被要求提交配置表单并生成新的证书请求。提交请求后,客户提供了在配置过程中生成的 Sectigo 订单号,以便 SSL Dragon 团队可以验证并授权该请求。
订单确认后,证书颁发机构开始了标准 S/MIME 验证流程。
证书颁发机构验证
配置请求获批后,证书颁发机构向客户通过电子邮件发送了验证说明。这些说明使客户能够完成证书颁发所需的最终验证步骤。
验证完成后,证书颁发机构继续颁发新的 S/MIME 证书。
最终颁发
在验证后不久,证书颁发机构确认配置请求已被批准。新的 S/MIME 证书成功颁发,并可通过证书颁发机构门户获得,使客户能够在其电子邮件环境中完成部署。
重置证书订单并使用正确的参数重建请求恢复了预期的 S/MIME 配置并解决了该问题。
解决时间表
从问题被识别的那一刻起,解决过程就快速进行了。技术限制和密钥限制在同一支持周期内得到确认。
确定现有证书订单无法重用后,支持团队重置订单并启动了新的 S/MIME 证书请求。
证书颁发机构在第二天批准了配置,新的 S/MIME 证书随后颁发,总解决时间约为 24 小时。
事件中吸取的教训
虽然本案例中的问题得到了快速解决,但它突出了在现实环境中管理 S/MIME 证书的几个实际方面。
电子邮件加密证书与处理它们的软件紧密相关,细小的配置细节可能会影响它们更换或维护的容易程度。
超越具体事件,对于负责部署和维护 S/MIME 证书的团队,会出现几个更广泛的运营经验。
1. 将私钥视为运营依赖项
S/MIME 部署看似简单,直到你意识到证书生命周期是以私钥为基础的。如果密钥访问不清楚,后续的每个操作都会变得更慢:替换、迁移和恢复都会变成”首先找出该工具允许什么”。
实践上的收获是尽早决定谁持有密钥以及密钥在哪里。这一决定决定了未来的证书工作是快速刷新还是重建。
运营建议
- 记录密钥生成和存储的位置(客户端、OS 存储、HSM、单独的密钥工具)。
- 保持清晰的导出策略,以应对允许和适当导出的情况。
- 避免将电子邮件客户端视为证书资产的唯一信息源。
2. 确保证书与其预期用途相匹配
S/MIME 和网站 TLS 可能共享熟悉的术语,但在日常处理中表现不同。当所遵循的工作流程与证书的预期用途不匹配时,通常会出现混淆。
最安全的方法是在开始时验证目的,并在任何人花时间将表单推送通过错误的流程之前,围绕该目的调整步骤、屏幕和配置路径。
运营建议
- 在开始时确认证书的用途(电子邮件签名/加密与网站安全)。
- 将工作流程调整为该目的,包括验证期望和证书的管理位置。
3. 知道何时从头开始
某些证书问题值得原地诊断。其他问题则不然。当当前状态变得不确定时,最有效的结果通常来自于转向一个清晰的、已知好的路径,以恢复有效的基线。
这种方法减少了来回,降低了复合错误的风险,并将部署恢复到可预测的状态。
运营建议
- 如果设置变得混乱,请停止并重新启动该过程,而不是尝试逐片修复它。
- 选择最快解决问题的选项,即使这意味着从头开始而不是修补现有设置。
4. 不要将证书视为一次性设置
S/MIME 证书不应被视为一次性设置。与任何其他安全组件一样,它们需要随时间推移进行管理。提前计划续期和替换的团队可以避免以后的仓促修复。
运营建议
- 跟踪证书何时过期以及谁负责续期。
- 保存有关如何安装证书的笔记,以便需要时可以轻松重复该过程。
使用 S/MIME 证书改进电子邮件安全
电子邮件携带批准、合同、财务细节和保持企业运营的日常决策。S/MIME 证书通过添加验证的数字签名和启用消息加密来保护该通信。
收件人可以确认谁发送了消息并相信其内容完全按照编写的方式到达。如果您的企业依赖可靠的电子邮件通信,S/MIME 证书提供了一种直接的方式来加强发件人和收件人之间的信任。
SSL Dragon 为个人、团队和企业提供广泛的 S/MIME 证书。浏览我们的选择以找到适合您的电子邮件环境和安全需求的选项。

