Первым делом нам нужно установить Центр Сертификации.
Для этого на сервере открываем Диспетчер сервера, нажимаем Добавить роль, выбираем Службы сертификации Active Directory, выбираем компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).


Выбираем тип Центра сертификации:

Так как у нас это единственный центр сертификации выбираем параметр «Корневой ЦС»:

Создаем закрытый ключ:

Настройка провайдера алгоритма шифрования:

Зададим имя Центра сертификации:

Укажем срок действия сертификата для данного ЦС:

Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному имени субъекта. Для включения в сертификат нескольких альтернативных имен субъектов необходимо в центре сертификации активировать функцию Subject Alternative Name. Для этого выполним команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
Перезапустим службу:
net stop certsvc
net start certsvc

Дальше нужно создать запрос сертификата для сервера Exchange.
Заходим в консоль управления Exchange, раздел Настройка серверов, жмем в правой колонке Создание сертификата Exchange…

Введем понятное имя сертификата и на странице Конфигурация сервера Exchange внимательно заполним FQDN имена узлов для необходимых нам сервисов.

Заполняем страницу Организация и местоположение
Нажимаем кнопку Обзор…, задаем имя файла и сохраняем его. Завершаем создание запроса сертификата

Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание. Далее открываем браузер и вводим адрес http://dc2/certsrv (или https://dc2/certsrv), где dc2 — имя сервера, на котором установлен центр сертификации. Если находимся на сервера где установлен центр сертификации, то можно зайти через http://localhost/certsvr (https://localhost/certsvr). Нажимаем Запрос сертификата, Расширенный запрос сертификата, далее Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7. Вставляем содержимое запроса в поле Сохраненный запрос, выбираем шаблон сертификата Веб-сервер и нажимаем кнопку Выдать.

Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске.
Возвращаемся в Консоль управления Exchange
В правой нижней области правый клик по созданному нами сертификату – Выполнить ожидающий запрос… Жмем Обзор… и выбираем сертификат, загруженный из центра сертификации.
Снова делаем правый клик по сертификату и выбираем Назначение служб для сертификатов…, выбраем службы.

Обновляем групповые политики:
gpupdate /force

Для клиентов вне домена нужно импортировать сертификат. Для этого заходим в центр сертификации, и жмем Загрузка сертификата ЦС, цепочки сертификатов или CRL. Сохраняем файл с расширением .p7b. Передаем этот файл клиенту. На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, выбираем Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации.