Если он вообще плохой - занеси его в список отозванных сертификатов и этот список проинсталь на IIS.

Вообще сертификаты используется только для аутентификации. Предъявил доверенный сертификат - молодец, проходи. Сейчас у тебя пользователь сует этот плохой сертификат и скорее всего получает IUSR, от него и работает.

Дальше уже, для разграничения доступа надо использовать другие фишки. Поскольку у тебя сертификаты привязанны к пользователям, то сделай так:
1. Создай группы безопасности Site1 и Site2.
2. Включи в группу Site1 учетки которым нужен первый сайт и соответсвенно для второго.
3. Постафь NTFS разрешения на файлы первого сайта пользователям группы Site1. Если используются только html и сценарии (.asp и т.д., а не .exe), то достаточно разрешений на чтение, execute не надо.
4. И т.д.

Тогда у тебя пользователь будет проходить аутентификацию предъявляя сертификат, затем ему будет выдаватся маркер доступа, сгенерированный на основе привязки сертификат-пользователь, затем будет проверятся, а может ли этот токен тыкаться собственно к запрошенному файлу.
Вроде так