NeoMutt中的S/MIME功能使用指南-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00522/article/details/148577761

NeoMutt中的S/MIME功能使用指南

neomutt ✉️ Teaching an Old Dog New Tricks -- IRC: #neomutt on irc.libera.chat 项目地址: https://gitcode.com/gh_mirrors/ne/neomutt

前言

S/MIME（Secure/Multipurpose Internet Mail Extensions）是一种用于电子邮件安全的协议标准，它通过数字签名和加密技术来确保邮件的真实性、完整性和机密性。作为一款功能强大的邮件客户端，NeoMutt提供了完善的S/MIME支持，本文将详细介绍如何在NeoMutt中配置和使用S/MIME功能。

初始配置

1. 基础设置

首先需要将contrib/smime.rc文件的内容添加到你的.muttrc配置文件中。这一步会引入S/MIME相关的配置变量和命令，但暂时不需要修改其中的smime_default_key参数，后续我们会专门处理这个设置。

2. 初始化密钥管理

执行命令：

smime_keys init

这个命令会初始化S/MIME密钥管理系统，创建必要的目录结构。

3. 安装OpenSSL

确保系统中已安装OpenSSL工具包，它是处理S/MIME证书的基础工具。大多数Linux发行版都可以通过包管理器轻松安装。

获取并导入证书

1. 获取个人证书

你可以从多家证书颁发机构(CA)获取S/MIME证书：

免费证书：如Comodo等机构提供
付费证书：如VeriSign等商业CA提供

通常证书会直接安装到你的网页浏览器中。

2. 从Firefox导出证书

如果你使用Firefox浏览器，可以按照以下步骤导出证书：

打开Firefox的证书管理器
选择你的个人证书
导出为PKCS#12格式文件（通常命名为cert.p12）
记住导出时设置的密码

3. 导入证书到NeoMutt

执行命令导入证书：

smime_keys add_p12 cert.p12

导入过程中会要求输入：

导入密码：即导出证书时设置的密码
PEM密码：新建一个密码，后续每次签名或解密邮件时都需要输入
标签：为证书设置一个易记的名称（如"me"）

命令执行后会显示类似以下信息：

added private key: /home/user/.smime/keys/12345678.0 for user@example.com

其中的数字部分（包括".0"）就是你的keyid，后续配置需要用到。

配置NeoMutt

1. 设置默认密钥

编辑.muttrc文件，找到smime_default_key行，将其值替换为你刚才获得的keyid。

2. 配置CA证书

现代版本的NeoMutt不再提供内置的CA证书包，建议使用系统ca-certificates包中的ca-bundle.crt文件。你可以：

使用命令添加根证书：

smime_keys add_root

或者手动将ca-bundle.crt复制到smime_ca_location变量指定的位置

S/MIME密钥管理机制

NeoMutt采用类似OpenSSL CA目录的方式管理密钥，私钥和证书存储在不同的目录中。每个目录包含一个.index文件，记录以下信息：

邮箱地址：与证书中的email字段匹配
keyid：基于证书主题字段生成的哈希值
标签：添加密钥时用户指定的名称
中间证书ID
keyflags：证书验证状态标志

密钥状态标志

keyflags可能的值及其含义：

i：无效（验证失败）
r：已吊销
e：已过期
u：未验证
v：验证成功
t：受信任（验证成功且用户选择信任）

NeoMutt会根据这些标志决定如何使用证书：

不会使用无效、吊销或过期的证书
使用未验证证书前会请求确认
使用已验证但不受信任的证书时会发出警告

高级配置

查看证书内容

在~/.mailcap文件中添加以下内容，可以在NeoMutt中直接查看证书详情：

application/pkcs7-signature;openssl pkcs7 -in %s -inform der -noout -print_certs -text | less; needsterminal
application/x-pkcs7-signature;openssl pkcs7 -in %s -inform der -noout -print_certs -text | less; needsterminal