Nur eine Anmerkung von mir - habe das ähnliche Szenario und dort immer dies wie folgt gehandhabt.
- Stammzertifikat auf allen Hosts im System installiert
- entweder gewartet bis CMK mal wieder von allein seine Datei “ca-certificates.crt” aktualisiert hat oder dies manuell selbst getan
- nun sollte es von jedem Slave aus möglich sein mit dem LDAP Server zu reden