Meu problema estava relacionado ao aplicativo de acesso às chaves da Apple.
Se uma solicitação de certificado for criada no Safari, a chave privada será armazenada nas chaves de login do OS X. A chave pública pode ser baixada posteriormente usando o Safari como um arquivo chamado pki , que pode ser importado para o keychain de login usando o Keychain Access. Ao exportar o certificado, a cadeia certficate (CA, CA intermediária, CA raiz) é não incluída no arquivo PKCS # 12 (que causa a mensagem de erro). Naturalmente, você pode exportar manualmente todos os elementos da sua cadeia de certificados e mesclá-los usando, por exemplo, OpenSSL.
Mas é muito mais fácil criar solicitações de certificados no Firefox e exportar ("backup") o certificado completo deste navegador. Um arquivo PKCS # 12 do Firefox pode ser importado usando smime_keys sem mais delongas.
Resumo: eu criei ~/.smime e copiei alguns certificados confiáveis da CA para esse diretório ( ~/.smime/ca-bundle.crt ). Para importar meu certificado pessoal, executei smime_keys add_p12 cert.p12 e adicionei as seguintes linhas
set smime_is_default
set smime_default_key="foobar"
para meu ~/.muttrc , em que "foobar" é o ID de chave retornado para meu certificado pessoal por smime_keys list .