[Oleg Krylov]

В Exchange Management Shell выполните команду (подменив имя домена на нужное):

Код:

New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName 'CN=owa.firma.ru' -DomainName autodiscover.firma.ru,owa.firma.ru

Сохраните вывод в файл с помощью Notepad, например C:\ExchCert.req (кодировка обязательно должна быть ANSI, это важно)
Затем в CMD\PowerShell:

Код:

certreq -submit -attrib 'CertificateTemplate:WebServer' C:\ExchCert.req

Сохраните в файл с расширением .cer
Затем импортируйте его в Exchange (обязательно на той машине, где делался запрос, там остался закрытый ключ, другая машина просто не поймет о чем речь).
Для понимания работы PKI и правильной настройки это не самой простой системы, очень рекомендую начать с блога Вадима Поданса
https://www.sysadmins.lv/blog-ru/cat...curitypki.aspx

Затем установленный сертификат экспортируете с закрытым ключом, УДАЛЯЕТЕ его из Certificate Store (чтобы снять пометку на экспорт ключа), затем импортируете .pfx файл в Machine\Personal Store на оба Exchange и на TMG 2010 (не забудьте импортировать цепочку доверия, иначе будут проблемы).
Ну и перед выдачей смените LDAP-пути в AIA\CDP на http. И поднимите веб-каталог, где будут корневой сертификат и списки отзыва. Тогда их можно будет публиковать наружу, чтобы устройства могли проверять сертификаты на отзыв (так же это снимет проблему импорта корневого сертификата на устройство, т.к. его можно будет просто скачать по ссылке, которая отправлена, скажем, в СМС).