本例中，在局域网中存在一个CA证书服务器，用来发放数字证书。接下来就说明如何利用数字证书，来保证这些主机间通讯的安全性。

首先确保这些主机之间可以正常通讯，可以使用PING命令对其进行检测。在CA服务器上以管理员身份登录，在添加角色向导界面中选择“Active Directory证书服务”项，点击下一步按钮，按照操作向导的提示，完成证书服务安装操作，具体的安装方法并不复杂，这里就不再赘述。在管理工具中运行“证书颁发机构”程序，可以对证书进行管理。如果在证书服务安装过程中，选择了“证书办法机构Web注册”项，那么不管是内网用户还是Internet上的用户，都可以通过Web方式申请数字证书。为了便于之后的访问，在IE的选项设置窗口中的“安全”面板中选择“受信任的站点”项，点击“站点”按钮，将CA服务器IP输入到可信任列表中。当认证通过后，在弹出窗口中点击“下载CA证书，证书链或CRL”链接，在打开窗口中的“CA证书”列表中显示可用的证书名称。点击“下载CA证书”链接，将证书保存在本机上。双击下载的证书文件，在证书控制台窗口中展开控制台树，查看已经下载的证书信息。双击该证书项目，在其属性窗口中点击“安装证书”按钮，在向导界面中选择“将所有的证书放入下列存储”项，点击浏览按钮，在演出窗口中选择“受信任的根证书颁发机构”项，之后按照提示完成证书的导入操作。在IE浏览器中访问“http：//192.168.10.10/certsrv”,登录CA服务器，在欢迎使用窗口中点击“申请证书”链接，在弹出窗口中点击“用户证书”链接，在弹出对话框中点击“是”按钮，点击“提交”按钮，向证书服务器申请证书。申请成功后，点击“安装此证书”链接，将申请的证书安装到本机上。也可以在欢迎窗口中点击“高级证书申请”链接，点击“创建并向此CA提交一个申请”链接，可以根据需要选择证书模版、设置密钥类型、申请格式、哈希算法等。勾选“标记密钥可导出”项，点击“提交”按钮来申请和安装证书。

当安装好数字证书后，在Server 1中打开高级安全Windos防火墙窗口，在左侧的“连接安全规则”项的右键菜单上点击“新建规则”项，在向导窗口中选择“隔离”项，在下一步窗口中选择“入站和出站链接请求身份验证”项，在下一步窗口中选择“高级”项，点击“自定义”按钮，在自定义高级身份验证方法窗口中的“第一身份验证方法”栏中点击“添加”按钮，在第一身份验证方法窗口中选择“来自下列证书颁发机构（CA）的计算机证书”项，点击浏览按钮，选择所需的数字证书。点击确定按钮，完成该连接安全规则的创建操作。在别的主机上（例如Server 2）上执行同样的操作，创建相应的安全连接规则。这样，在两者之间就可以利用数字证书，执行安全的IPSec数据传输。