Eu já vi isso na GUI (o Console de Gerenciamento do Exchange) antes.
Para resolver isso, usei o Shell de Gerenciamento do Exchange:
Primeiro, encontre a impressão digital do certificado que você está prestes a renovar, emitindo:
Get-ExchangeCertificate
Copie a impressão digital e gere uma CSR canalizando-a para o cmdlet New-ExchangeCertificate :
Get-ExchangeCertificate -Thumbprint "The Thumbprint goes here" | New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable:$true