1. Через certbot выпустить сертификаты letsencrypt:

$ sudo certbot certonly --manual -d webmail.mydomain.ru --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01
$ sudo certbot certonly --manual -d autodiscover.mydomain.ru --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01

Для подтверждения домена редактировать записи DNS на хостинге. Проверять, что DNS-записи обновились, через любой Linux:

$ dig _acme-challenge.autodiscover.mydomain.ru txt @8.8.8.8

2. Забрать готовые сертификаты fullchain.pem* и ключи privkey.pem* из папки /etc/letsencrypt/archive/
3. Сделать из файлов .pem сертификаты .pfx через программу openssl:

>"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -inkey privkey3.pem -in fullchain3.pem -export -out autodicover_20190417.pfx

4. Загрузить в MS Exchange сертификаты .pfx («Import Exchange Certificate...»)

5. Выбрать для чего использовать сертификаты (Assign Services to Certificate):
webmail — IMAP, POP, SMTP, IIS
autodiscover — SMTP