Mesmo tentando a recomendação SmithPlatts, ainda não consegui que o CCS reconhecesse o certificado.
Acabei gerando uma solicitação do IIS, preenchendo a solicitação com um certificado fornecido pela CA e exportando esse certificado com a chave do certmgr. Eu peguei aquele PFX e o CCS vê que não tem problema.
Eu não sei exatamente qual é o problema, eu suspeito que seja algo como o post de SmithPlatts, mas inseguro. Eu pretendo fazer alguns scripts do PowerShell para gerenciar este processo, não ideal, mas funciona.