Личный сертификат (просто по определению) должен генерировать сам пользователь. Если кто-то делает это за него, то или сам пользователь или этот кто-то должен его установить.
Если речь идёт о "чужих" сертификатах, то для PKI доверие сертификату определяется доверием к выдавшему его удостоверяющему центру. Если доверяем, то при получении подписанного/шифрованного письма, как помнится, сертификат (полу)автоматически помещается в нужное хранилище (почтового) клиента.
Поэтому не очень понятно: чего именно вы хотите? Плюс - ньюанс с неиспользованием системных хранилища windows-версиями Seamonkey/Thunderbird.

GregTkТеперь не ясно как мне отправить шифрованное письмо если я не получал от адресата его открытый ключНикак. Просто по определению шифрования на открытом ключе (получателя).
Сначала обмениваемся письмами с подписью и только потом переходим на следующий уровень доверительных отношений.

P.S. Насколько я помню, почтовые клиенты без проблем настраиваются так, чтобы подписывать все сообщения.
Дальше - всё в (не)надёжных ручонках получателя: заинтересован - будет вам закрытая переписка, нет - без административного ресурса пойдёте лесом.

Не "принято обмениваться ключами", а "вы не можете заставить получателя принять (открытый) ключ, если он этого не желает".
Не очень, правда, понятно, чем поможет список рассылки за пределами вашей организации, если первое, что должен сделать сторонний получатель - импортировать сертификат вашего УЦ в (свой) список доверенных корневых удостоверяющих центров.
В системным хранилище или в персональное хранилище конкретного почтового клиента.

Тогда непонятен смысл всех этих плясок с бубном.
Только для того, чтобы сперев почтовый сервер нельзя было прочитать хранящиеся там письма???

Да, эта мысль тоже пришла мне в голову. После отправки сообщения