сразу после выпуска сертификатаа что прописано в сертификате (интересует поле SAN) и к каким сервисам Exchange он привязан?...и речь, если я правильно помню, про серт от LE?
1)все во внутренней сети либо через VPNа зачем внутри второй фактор? - правами/доступами можно ограничить. Если VPN - тогда второй фактор нужен для сервиса VPN
2)на своейТогда возвращаемся к вопросу про "механизм"
1. сайт kb-modul.ru можно смело выносить
2. во внешнем DNS создается А-запись mail.kb-modul.ru (с IP-адресом от МХ-записи)
3. во внешнем DNS создается MX-запись, указывающая на mail.kb-modul.ru
4. во внешнем DNS создается CNAME-запись autodiscover.kb-modul.ru, указывающая на mail.kb-modul.ru
Подробности тут
5. во внутреннем DNS создается зона прямого просмотра autodiscover.kb-modul.ru. Внутри зоны - А-запись с пустым именем и IP-адресом сервера Exchange
6. ExternalURL и InternalURL во всех виртуальных каталогах Exchange приводятся к виду https://mail.kb-modul.ru/xxx, где xxx = owa/ecp/oab/mapi/...и т.д. (смотрим в первоисточник как должно быть)
7. Перегружаем Exchange и проверяем взлет (сертификаты-то уже настроены)
Подробности тут
ну и первоисточник