Wenn der Zertifikatname lautet wie der interne Exchange (also der FQDN) hat man bei einem Windows Phone das Problem, dass man dem Phone noch mitteilen muss, auf welcher IP-Adresse der Server zu finden ist. Bis zur Version 6.5 geht das noch mit Tools aus dem Netz; aber nicht mehr mit der Version 7. Es funktioniert auf alle Fälle, wenn es einen Eintrag im DNS gibt für den Mailserver - dann kann man problemlos am Exchange ein Zertifikat erstellen (über die Domäneneigene CA - ganz ohne Kosten) für diesen quasi öffentlichen Namen.
Das Zertifikat muss immer auf den Servernamen lauten, den man beim Handy als Quelle für EAS angibt. Sonst gibt es die Fehlermeldung, dass das Zertifikat nicht gültig ist. Apple und Co. ignorieren diesen Fehler und synchronisieren trotzdem; Windows Phones machen das nicht - da muss das Zertifikat richtig sein.