ich habe es lösen können und möchte Euch daran teilhaben lassen. Ich denke, in diese Fall kann man leicht tappen.
Es lag am IIS auf dem Lyncserver. Hier gab es eine Bindung für http und https. Diese waren an "*" gebunden. Also an alle IP-Adressen des Hosts. Das sollte eigentlich ausreichen. Tut es aber nicht.
Auf dem Clientserver und auch dem Host ist IPv6 aktiviert. Und bei IPv6 gilt das "*" in den Bindungen am IIS nicht. Ich habe nun das gültige Zertifikat expliziet an die IPv6 Adresse des Hosts gebunden und habe nun keine Probleme mit dem Zertifikat.
kaysus's post in Azure Portal: erstellen eines neues Computer innerhalb einer Ressource Group wurde als beste Lösung markiert.