Ok, nós encontramos a solução nós mesmos. Para aqueles que estão interessados, isso é o que fizemos:
Aparentemente, esquecemos de definir um valor de dias de expiração e o padrão é 365 dias. É por isso que expirou.
O servidor openldap usa apenas os caminhos do certificado CA cacert.pem, a chave do servidor privado (hostname.slapd.pem) e o certificado do servidor (assinado com o cacert.pem). Isso significa que não precisamos alterar a configuração do openldap.
Precisamos recriar / substituir o certificado de autoridade de certificação. Por conveniência, mantivemos a chave da autoridade de certificação privada e a chave do servidor privado.
-
Recriamos o certificado de autoridade de certificação usando a chave de CA particular existente e garantimos que o valor de dias de expiração fosse maior que um ano. Usamos um arquivo de modelo antes e adicionamos a linha de dias de expiração.
-
Recriamos o certificado do servidor usando a chave privada do servidor existente e assinamos com o certificado de CA recém-criado da etapa 1.
-
Reiniciamos nosso serviço slapd
Se você estiver usando um servidor openldap slave de replicação, não se esqueça de assinar um novo certificado de servidor escravo com o novo certificado CA e reiniciar o serviço slapd. A replicação deve estar funcionando então.
Tudo está corrigido agora.