io, ja mit nem Proxy wird das schnell lustig
Mit der UTM 9 habt ihr aber auch die Möglichkeit die WAF zu verwenden und - je nachdem wie aktuell eure Firmware ist - automatisch Let's Encrypt Zertifikate zu verwenden (Erstellung und Renewal macht die Sophos).
Bei vollständiger Konfiguration kommunizieren die Clients dann mit der WAF (UTM9) und die WAF mit dem Exchange. Dazu gibt's auf Frankysweb auch einen Guide
Du hast dann das Letsencrypt Cert mit Autorenewal auf der Sophos und brauchst am Exchange keins mehr zu verlängern - da kann das Zert dann getrost auslaufen.
Und ich denke mal die Sophos ist bei euch eh der zentrale dreh und Angelpunkt?