本例中，在局域網(wǎng)中存在一個CA證書服務器，用來發(fā)放數(shù)字證書。接下來就說明如何利用數(shù)字證書，來保證這些主機間通訊的安全性。

首先確保這些主機之間可以正常通訊，可以使用PING命令對其進行檢測。在CA服務器上以管理員身份登錄，在添加角色向?qū)Ы缑嬷羞x擇“Active Directory證書服務”項，點擊下一步按鈕，按照操作向?qū)У奶崾?，完成證書服務安裝操作，具體的安裝方法并不復雜，這里就不再贅述。在管理工具中運行“證書頒發(fā)機構”程序，可以對證書進行管理。如果在證書服務安裝過程中，選擇了“證書辦法機構Web注冊”項，那么不管是內(nèi)網(wǎng)用戶還是Internet上的用戶，都可以通過Web方式申請數(shù)字證書。為了便于之后的訪問，在IE的選項設置窗口中的“安全”面板中選擇“受信任的站點”項，點擊“站點”按鈕，將CA服務器IP輸入到可信任列表中。當認證通過后，在彈出窗口中點擊“下載CA證書，證書鏈或CRL”鏈接，在打開窗口中的“CA證書”列表中顯示可用的證書名稱。點擊“下載CA證書”鏈接，將證書保存在本機上。雙擊下載的證書文件，在證書控制臺窗口中展開控制臺樹，查看已經(jīng)下載的證書信息。雙擊該證書項目，在其屬性窗口中點擊“安裝證書”按鈕，在向?qū)Ы缑嬷羞x擇“將所有的證書放入下列存儲”項，點擊瀏覽按鈕，在演出窗口中選擇“受信任的根證書頒發(fā)機構”項，之后按照提示完成證書的導入操作。在IE瀏覽器中訪問“http：//192.168.10.10/certsrv”,登錄CA服務器，在歡迎使用窗口中點擊“申請證書”鏈接，在彈出窗口中點擊“用戶證書”鏈接，在彈出對話框中點擊“是”按鈕，點擊“提交”按鈕，向證書服務器申請證書。申請成功后，點擊“安裝此證書”鏈接，將申請的證書安裝到本機上。也可以在歡迎窗口中點擊“高級證書申請”鏈接，點擊“創(chuàng)建并向此CA提交一個申請”鏈接，可以根據(jù)需要選擇證書模版、設置密鑰類型、申請格式、哈希算法等。勾選“標記密鑰可導出”項，點擊“提交”按鈕來申請和安裝證書。

當安裝好數(shù)字證書后，在Server 1中打開高級安全Windos防火墻窗口，在左側(cè)的“連接安全規(guī)則”項的右鍵菜單上點擊“新建規(guī)則”項，在向?qū)Т翱谥羞x擇“隔離”項，在下一步窗口中選擇“入站和出站鏈接請求身份驗證”項，在下一步窗口中選擇“高級”項，點擊“自定義”按鈕，在自定義高級身份驗證方法窗口中的“第一身份驗證方法”欄中點擊“添加”按鈕，在第一身份驗證方法窗口中選擇“來自下列證書頒發(fā)機構（CA）的計算機證書”項，點擊瀏覽按鈕，選擇所需的數(shù)字證書。點擊確定按鈕，完成該連接安全規(guī)則的創(chuàng)建操作。在別的主機上（例如Server 2）上執(zhí)行同樣的操作，創(chuàng)建相應的安全連接規(guī)則。這樣，在兩者之間就可以利用數(shù)字證書，執(zhí)行安全的IPSec數(shù)據(jù)傳輸。