Fallos y registro del almacén central de certificados

Tengo IIS 10 en una instancia de Server 2019 con un almacén de certificados centralizado configurado.

El CCS parece válido en IIS. Los certificados se cargan y no muestran advertencias ni errores, pero las solicitudes a cualquier sitio devuelven un restablecimiento de TCP.

• Si instalo manualmente el certificado desde CCS en IIS, también funciona, por lo que no es un problema de certificado.
• Verifiqué con Wireshark que Client Hello incluye el nombre de host SNI correcto que coincide con el nombre de archivo en mi CCS.
• Poresta pregunta, He comprobado que Requerir SNI está habilitado en todos los enlaces https en todo el servidor (solo hay dos y ambos en el mismo sitio)
• La salida de netsh http show sslcertse ve así:

¿Cómo puedo depurar esto más? ¿Existe algún registro del almacén de certificados donde pueda obtener más detalles sobre solicitudes fallidas (inetpub y httperr no las incluyen)?