В Exchange существует самоподписанный бэкенд-сертификат, который используется внутри Exchange и он же присвоен для сайта Exchange Backend. В случае, если этот сертификат истёк - могут быть некоторые проблемы. В частности, проблема возникла при установке патча безопасности KB5004778 (июль 2021), после установки которого отвалилась OWA и ECP. При этом, сертификат недостаточно было продлить в ECP. Проверить сертификат можно следующим командлетом:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Если сертификат просрочен, или команда возвращает ошибку, его следует сначала создать:

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

Затем назначить серверу и опубликовать, используя отпечаток из предыдущего командлета:

Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

После этого следует перезагрузить IIS:

IISReset

Либо пулы:

Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

ВАЖНО: публикация сертификата происходит не сразу - в случае с проблемным патчем OWA заработала только через несколько часов (два). Возможно, это связано с расхождением установленной таймзоны с временем UTC. Возможно, в случае каких-либо проблем стоит также проверить - назначен ли нужный сертификат в привязках сайта Exchange backend.

https://docs.microsoft.com/en-gb/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired