Antes de tudo: não treine seus usuários para ignorar os avisos de certificados. Isso é uma coisa ruim. Procure em um certificado de nome alternativo de assunto ou apenas usando um endereço de ouvinte diferente para o domínio antigo.
Dito isto .. você pode configurar um cabeçalho de host na porta 443 da mesma maneira que você faria se tivesse um certificado curinga ou de nome alternativo.
Em seguida, execute isso para configurar a ligação, trocando o número do identificador de um site configurado para redirecionamentos:
cscript.exe adsutil.vbs set /w3svc/<site number>/SecureBindings ":443:olddomain.com"