Você quer que seus DCs ofereçam suporte ao BIND por meio de LDAPS. Para fazer isso, você precisará adicionar um certificado ao armazenamento de certificados pessoais dos controladores de domínio que atenda aos requisitos a seguir. Esse certificado pode ser de uma autoridade de certificação localmente hospedada ou de uma autoridade de terceiros.
- O certificado LDAPS está localizado no Pessoal do Computador Local armazenamento de certificados (programaticamente conhecido como MY do computador armazenamento de certificados).
- Uma chave privada que corresponde ao certificado está presente no armazenamento do computador local e está corretamente associada ao certificado.
- A chave privada não deve ter proteção strong de chave privada ativada.
- A extensão Enhanced Key Usage inclui o identificador de objeto Server Authentication (1.3.6.1.5.5.7.3.1) (também conhecido como OID).
- O nome de domínio totalmente qualificado do Active Directory do controlador de domínio (por exemplo, DC01.DOMAIN.COM) deve aparecer em um dos seguintes locais: O Nome Comum (CN) no campo Assunto. Entrada de DNS na extensão Subject Alternative Name.
- O certificado foi emitido por uma autoridade de certificação na qual o controlador de domínio e os clientes LDAPS confiam. A confiança é estabelecida configurando os clientes e o servidor para confiar na CA raiz para a qual as cadeias de CA de emissão.
- Você deve usar o provedor de serviços de criptografia Schannel (CSP) para gere a chave.
O texto acima foi tirado de KB321051: Como habilitar o LDAP sobre SSL com uma autoridade de certificação de terceiros .
Informações adicionais sobre como configurar uma CA local para usar LDAPS podem ser encontradas no seguinte artigo:
Quando seus DCs tiverem o certificado adequado instalado, a comunicação LDAPS deverá ser ativada automaticamente. Você pode verificar isso com ldp.exe como você estava tentando fazer.