As vezes os certificados instalados no AD não são os mesmos utilizados na conexão LDAPs, uma forma de verificar o certificado seria extraindo ele diretamente da conexão.

Isto pode ser feito pelo comando abaixo:

echo -n | openssl s_client -connect MEUSERVIDOR:636 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > MEUCERTIFICADO.pem
openssl x509 -inform PEM -in MEUCERTIFICADO.pem -outform DER -out MEUCERTIFICADO.cer

O certificado pode ser testado pelo Apache Directory Studio.

• http://directory.apache.org/studio/