Seus clientes não precisam de seu próprio certificado. Eles só precisam confiar no certificado da Autoridade de Certificação (ou cadeia de certificados) que assinou o certificado do servidor LDAP. Você não precisou se preocupar com isso no host local porque o certificado de CA já era confiável por padrão.
Não está claro, na sua pergunta, se o servidor LDAP também é a Autoridade de Certificação e se está usando o certificado de autoridade de certificação como o certificado LDAP também. Normalmente, estes são dois certificados diferentes e a Autoridade de Certificação vive em uma máquina diferente.
Algum google'ing rápido indica que há uma opção que você pode definir no arquivo ldap.conf chamado TLS_CACERT ou uma variável de ambiente equivalente chamada LDAPTLS_CACERT, que você pode apontar para um arquivo contendo todos os certificados de CA em seu ambiente (codificado em base64).
Se você tiver apenas uma única autoridade de certificação em seu ambiente, poderá baixar uma versão codificada em base64 de seu certificado público. E se você puder encontrar apenas uma versão codificada de DER, você pode usar o openssl para convertê-la em base64.
openssl x509 -inform der -in cacert.crt -out cacert.pem