У меня нет никого, где я могу протестировать это, таким образом, главным образом мысли о том, что я попробовал бы...
Сначала скопируйте cert8.db и key.db где-нибудь. Затем удалите оригиналы и попытайтесь делать что-то новым:
% certutil -S -x -n nickname -t "u,u,u" -v num_of_valid_months -s subjectDN -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db [-h tokenname]
Я просматриваю возможности в: http://developers.sun.com/appserver/reference/techart/keymgmt.html
Это работает? Следующее затем работает?
certutil -L -d /opt/SUNWwbsvr/alias/https-sub.domain.ext-hostname-cert8.db
Если так, что происходит, если Вы перезапускаете веб-сервер? Этому нравится новый сертификат? Если этому нравится сертификат, Вы могли бы затем попытаться создать запрос подписания вместо этого с 2048 битами.
Сам по себе netsh portproxy только пересылает пакеты от источника к месту назначения. Вам следует обратить внимание на ведение журнала брандмауэра Windows или использовать какой-нибудь анализатор сетевых протоколов, например Wireshark.