Ok, no meu caso, o problema era que o server-cert.pem e server-key.pem estavam malformados.
Inicialmente, tanto a chave privada quanto os certificados estavam em um único arquivo pem, então tive que dividi-los de volta em dois para acomodar o LDAP. No entanto, em vez de realmente usar a ferramenta openssl para dividir o arquivo, abri um editor de texto e copiei as coisas em dois arquivos separados. Para quem lê isto no futuro: esta é uma má ideia. Se acontecer de você ter um único arquivo contendo o certificado e a chave privada, use os dois comandos abaixo para extrair ambas as partes. Isso vai lhe poupar muita dor de cabeça.
openssl x509 -outform pem -in server.pem -out cert.pem
openssl pkey -outform pem -in server.pem -out key.pem