Se você quiser que o certificado dependa do caminho dentro da URL, isso não é possível: A URL completa é revelada apenas dentro do túnel SSL, ou seja, depois que o handshake SSL já foi feito e o certificado foi enviado e as cifras foram determinadas. Além disso, um certificado identifica um nome de host, portanto, tê-lo dependendo de um componente de caminho não faz sentido.
Se você quiser que o certificado dependa apenas do nome do host, isso é possível se você tiver um IP diferente para cada nome de host. Com o SNI (suportado por todos os navegadores modernos, mas não com o IE8 / XP) isso também seria possível se hostnames compartilhassem o mesmo IP, mas o IIS 7 não suporta SNI.
It is wanted that the communication to "our" URLs on the webserver is using a seperate certificate.
Nesse caso, use um nome de host e um IP separados para "seus" URLs. Então você pode facilmente ter um certificado separado também.