Nos Serviços de Certificados do Active Directory, é possível configurar certificados para renovação automática antes da expiração do certificado. Essa funcionalidade (fornecida com todas as caixas do Windows) é chamada de registro automático de certificado.
Este é o link que descreve como ativar a funcionalidade de registro automático (que é desativada por padrão): link
no seu caso, é suficiente usar um certificado baseado no modelo de certificado de Autenticação Kerberos (que é compatível com LDAPS) e ativar o GPO de registro automático. O modelo de certificado já contém permissões de registro automático para o grupo global de Controladores de domínio corporativos. Se o GPO estiver configurado corretamente, os controladores de domínio renovarão seus certificados LDAPS após 80% da vida útil do certificado existente.
e aqui está um link que descreve o que é o registro automático e como ele funciona em detalhes (para referência): link