Primeiro você tem um extra "/" no endereço http, deve ser:
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Em segundo lugar, você precisa emitir outro certificado para ser usado no seu IIS (AND) na VPN 3º, você precisa da porta 80 aberta no seu IIS