証明書のエクスポート禁止方法について

??

証明書の秘密鍵って、そもそも、他のマシンに転送するようなことはしてはいけないのですが。Windowsサーバで発行したのなら、そのWindowsサーバでのみ使うべきなものです。逆に公開鍵の方は、他のマシンなどに転送して使うものですから、転送禁止は意味がないと思うのですが。

Windowsサーバをマックユーザにも使わせるなら、その秘密鍵はマックユーザのマシンで発行したもの（macOSのキーチェーンで、秘密鍵と公開鍵のペアを簡単に発行できます）をWindowsサーバの秘密鍵で署名したものを使わせるようにすべきなのでは？これなら、Windowsサーバの秘密鍵を持ち出す必要はないし、（Windowsサーバの管理者の許可なしに）ユーザが勝手にWindowsサーバを利用することもできないと思うのですが。Windowsサーバの秘密鍵で署名することはWindowsサーバの管理者でないとできませんので。

> 別のPCにユーザがコピーできないようにしたい

同じユーザでないとコピーできませんので、別ユーザがコピーするというのはなかなか敷居が高いと思います。また、コピーしても、それを鍵として使うというのはそれなりに敷居は高いと思います。

でもユーザ自身が秘密鍵と公開鍵のペアをコピーして他人に渡してしまうということを想定されてるのでしょうか？

もしそうなら、署名する際に、ユーザマシンのMACアドレスなどのマシン情報も入れておくとか。これだと、サーバ側でコピーかどうか簡単にチェックできまます。そういうスクリプトを作って、ログインの際に自動でチェックすることもそんなに難しくないと思います。