Ha nem is mindenre, de pár kérdésre:
Az ldaps:// uri az SSL és a 636-os port, ldap:// URI az 389, TLS vagy anélkül, de az openldap kliens /etc/openldap/ldap.conf-jában nincs hozzá "force TLS" szerű opció, így mondjuk egy ldapsearchnél -Z vagy -ZZ paraméterrel lehet működésre bírni.
A másik ldap.conf (az /etc/ldap.conf) az nss_ldaphpoz és a pam_ldaphoz tartozik, ott pl. TLS az "ssl start_tls" opcióval kényszeríthető ki. Jó hülyén sikerült ez így, két ugyanolyan nevű konfigfálj két más szoftverhez. De mondjuk mostanában az nss_ldap helyett inkább már sssd-t vagy nss_ldapd-t lehet használni.
Az ldaps elvileg deprecated már, persze attól még működik.
A certekkel kapcsolatban nem értem, hogy te most kliens oldali TLS authentikációt akarsz? Vagy csak a megszokott TLS/SSL-el titkosított ldap kapcsolatot, ahol ha bejelentkezésre kerül a sor, akkor a hagyományos simple vagy SASL bind-et használod (ami kb. név+jelszó).