Todas as pesquisas do Google que realizamos sempre retornaram a mesma resposta básica, algo relacionado às permissões das Chaves particulares ... mas isso foi baseado nas mensagens de erro que estávamos vendo.
Eventualmente rastreamos o problema depois de usar WinHttpCertCfg.exe
junto com Process Monitor
para registrar o acesso às pastas e ao registro.
Quando um de nossos desenvolvedores adicionava alguns certificados de teste, ele também alterava as permissões de segurança na pasta C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
para que o IIS pudesse acessar a Chave particular dos certificados que ele importou, em vez de conceder permissões por meio dos Certificados. no MMC.
Ele só adicionou uma nova permissão e não alterou as existentes, mas isso de alguma forma quebrou a importação de certificados. Quando as permissões adicionais foram removidas, começou a funcionar novamente.
Muita dúvida de que outros terão esse mesmo problema, mas acham que vale a pena responder, em vez de excluir ou encerrar a pergunta, já que um dia ajudaria outra pessoa a sair.