Você precisa duplicar o modelo de certificado de autenticação do servidor e torná-las exportáveis e inscrever-se no novo modelo de certificado.
Eu preciso emitir um certificado para ligação SSL no IIS usando a autoridade de certificação do Active Directory.
Tanto quanto eu entendo, deve ter Purpose = Auth Server e conter chave privada / ser exportável.
Mas Template = Web Server no link tem a caixa de seleção 'Marcar chaves como exportáveis' não selecionada e desativada.