O arquivo fullchain.pem NÃO é uma concatenação da cadeia de certificados acima do arquivo cert.pem, é uma concatenação do arquivo chain.pem e cert.pem.
O arquivo chain.pem e o arquivo de autoridade raiz devem ser concatenados no arquivo que você apresentará para o slapd como olcTLSCACertificateFile
O arquivo privkey.pem deve ser apresentado ao slapd como olcTLSCertificateKeyFile.
O arquivo simples cert.pem deve ser apresentado para slapd como olcTLSCertificateFile.
Não tenho certeza se a ordem da concatenação é importante, mas esta é a ordem que usei: gato chain.pem root.pem > ca.merged.crt
O teste openssl que você usou mostra que tudo está OK quando configurado assim.
O arquivo de autoridade raiz pode ser encontrado aqui: link
Teste:
[root@█████ ssl]# openssl s_client -connect [REDACTED]:636 -showcerts -state -CAfile ca.merged.crt CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = [REDACTED] verify return:1 SSL_connect:SSLv3 read server certificate A SSL_connect:SSLv3 read server key exchange A SSL_connect:SSLv3 read server done A SSL_connect:SSLv3 write client key exchange A SSL_connect:SSLv3 write change cipher spec A SSL_connect:SSLv3 write finished A SSL_connect:SSLv3 flush data SSL_connect:SSLv3 read finished A --- Certificate chain 0 s:/CN=[REDACTED] i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- [REDACTED] -----END CERTIFICATE----- 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 i:/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- [REDACTED] -----END CERTIFICATE----- 2 s:/O=Digital Signature Trust Co./CN=DST Root CA X3 i:/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- [REDACTED] -----END CERTIFICATE----- --- Server certificate subject=/CN=[REDACTED] issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 --- No client certificate CA names sent Server Temp Key: ECDH, secp384r1, 384 bits --- SSL handshake has read 4417 bytes and written 405 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: [REDACTED] Session-ID-ctx: Master-Key: [REDACTED] Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None Start Time: 1487882605 Timeout : 300 (sec) Verify return code: 0 (ok) ---