Provavelmente, o Microsoft ARR está usando o CAPI para armazenar seus certificados, mas não há garantia de que o ARR o utilizará mesmo se você disponibilizar o certificado para ele. A autenticação do lado do cliente requer código extra e seus requisitos não são tão comuns. Poderia ter sido esquecido e deixado para trás ...
Para disponibilizar seu certificado de cliente para um serviço, você precisa editar sua loja "MY" CAPI. Execute mmc.exe em um prompt elevado e adicione o snap-in de certificado. Você terá que selecionar qual armazenamento CAPI usar. Selecione o armazenamento do computador. Importe seu certificado nos "Certificados pessoais", certificando-se de que você importou a chave privada com ele (isso será dito quando você voltar e visualizar o certificado que você importou).
Se adicionar seu certificado ao armazenamento do computador não funcionar, tente o repositório de serviços. Isso será necessário se a ARR for executada com sua própria identidade.
Eu também tive um problema com o AD-LDS, onde o serviço não tinha acesso de leitura à chave privada. Este artigo foi útil, mas pode estar muito longe para ARR. Procure por um caso especial do ADAM nessa página, o comando que você está procurando é
Certutil –V –Verifystore MY 0