Wenn Du über eine Windows-CA Zertifikate ausstellst, dann musst Du lediglich das Zertifikat der CA an die Clients verteilen. Dann vertrauen die Clients diesem Zertifikat.
Nur wenn Du richtig von Extern zugreifen willst, ist das nicht so einfach mit der eigenen CA. Wenn Du weißt, welche Clienst -> kein Problem. Stammstellen-Zertifikat importieren. Wenn nicht -> musst Du ein Zertifikat kaufen.
Das Problem an dieser Fragstellung ist: Es gibt mehrere Weg, um das Problem zu lösen, aber keinen pauschal richtigen. Ich persönlich habe ein SAN einer eigenen PKI und da ich fast nur Outlook Anywhere mache, die Stammstelle importiert. Für einen Kunde von mir, der sehr viel internen und externen OWA macht und so gut wie kein Outlook Anywhere hat ein SAN gekauft. Bei einem dritten Kunden haben wir den IIS (mit ISA) so angepasst, dass Autodiscover und OWA auf zwei verschiedenen Websites mit unterschiedlichen IP-Adressen laufen und damit mit zwei getrennten Zertifikaten (ein eigenes, ein gekauftes).
Bei diesen Problemen kann man eigentlich nur helfen, wenn man ganz genau weiß, um welche Infrastruktur, welche Domänen (das wird durch die Unsitte erschwert, dass hier jeder nur mit "Pseudo"-Domäns fragt und dabei oft Fehler entstehen) und welche Installationen es geht.