O OpenSSL suporta starttls para vários protocolos com s_client:
-starttls protocol
send the protocol-specific message(s) to switch to TLS for communication. protocol is a keyword for the intended protocol. Currently, the only supported keywords are "smtp", "pop3", "imap", and "ftp".
que lhe permitiria recuperar facilmente o certificado público, mas o LDAP não é um deles, infelizmente.
Como a atualização para o TLS é específica do protocolo, você precisa de uma ferramenta que entenda o protocolo. Isso exclui o OpenSSL.
Eu não tenho um diretório em mãos, mas o verboso ldapsearch -Z -v -H ldap://ldap.example.com:389 ... não exibiria o certificado como parte das informações de depuração?
Uma pesquisa rápida mostra que o Apache Directory studio também exibe o certificado .
Atualização:
O Openssl 1.1.1 incluiu um patch para adicionar suporte LDAP (RFC 4511) a s_client e -starttls ldap agora é suportado. As versões do openssl do RHEL / CentOS 7 parecem ter retornado essa atualização (e outras) para o pacote openssl 1.0.2k, já que o manual agora possui 8 protocolos starttls adicionais:
-starttls protocol
send the protocol-specific message(s) to switch to TLS for communication. protocol is a keyword for the intended protocol. Currently, the only supported keywords aresmtp,pop3,imap,ftp,xmpp,xmpp-server,irc,postgres,lmtp,nntp,sieveandldap.