hola Osvaldo, el tema de los certificados es el siguiente:
Primero si vas a publicar el servicio de OWA, Anywhare, Active Sync de manera externa, lo ideal es adquirir un Certificado por una entidad Externa Valida QUiere decir un Digicert, Verisign, etc. Si lo generas por tu CA Interna lo que va a pasar es que maquinas que no esten dentro del dominio de manera externa no van a detectar esta CA como una entidad certificadora de Confianza.
Si adquieres un certificado por una entidad externa el procedimiento a realizar es el siguietne:
1. Generar un REquest de uno de los Servidores CAS Internos. (Importante que tenga la LLave externa)
2. Enviar este Request a la entidad Certificadora Externa
3. Descargar e importar el certificado en el mismo servidor que generaste el Request
4. Exportarlo al resto de Servidores CAS que tengas e importarlo a los mismos.
5. Realizar un reincio del IIS para que tome los cambios
6. Si tienes un TMG por ejemplo en el listener debes agregar el certificado de la CA externa.
7. Puedes tener un Certificado solamente con el nombre externo por ejemplo correo.dominio.com y este publicarlo e internamente generar uno por la CA interna y asignarselo a los servidores.
Recuerda que no es recomedable publicar los nombres de los servidores en el certificado Externo pero si no tienes ningun Firewall y hace un NAT directo hacia tus servidores te toca.
Cualquier duda estare atento