Вопрос о сертификате на самом деле не связан с IIS.
При создании какого-либо самоподписанного сертификата с намеченными целями EKUs включая Аутентификацию сервера это будет работать с IIS.
Таким образом, все, что действительно необходимо сделать, создают тот сертификат, затем убеждают все клиенты доверять ему также.
Можно использовать старый инструмент SelfSSL для создания сертификата, по крайней мере:
selfssl/s: {SiteId}/n:cn = "*.contoso.com"/q
Необходимо смочь пропустить часть/s: {SideID}, просто генерировать локальный сертификат, затем поднять трубку ее через консоль IIS 7 InetMgr, как обычно.
В стороне: Если у Вас есть пакет совместимости метабазы и IIS 6 установленных сценариев, Вы можете использовать идентификатор Сайта и иметь настроенный для Вас, точно согласно инструкциям там.