Você não menciona os detalhes do software do servidor da web. É disso que isso realmente depende.
Se o software do servidor da Web não estiver validando os certificados usados para LDAPS em relação a um certificado raiz da CA, não será necessário fazer nada. Isso acaba com o propósito de usar o LDAPS (desde que você esteja se abrindo para ataques MiTM), portanto, faz sentido instalar o certificado raiz da CA como raiz confiável no servidor web. Como você faz isso, especificamente, depende do SO e do software do servidor da Web.
Se o servidor da Web for uma máquina do Windows Server que seja membro do domínio do Active Directory para o qual sua autoridade de certificação interna está atuando como raiz corporativa, essa confiança será automática.
Não é necessário instalar nenhum certificado dos próprios DCs, já que esses certificados são, presumivelmente, assinados pela raiz da CA (que deve ser confiada pelo servidor da Web, conforme descrito acima).