Certificado de comodín de tercero en DC para LDAPS

Estoy intentando proporcionar la autentificación como service a mis clientes. La authentication LDAP es perfecta para esto sin embargo, no soy un fan de las sesiones de text claro …. entrar LDAPS. Active Directory, por supuesto, tiene activado LDAPS sin embargo, el certificate utilizado es autónomo o de dominio local firmado. Esto se vuelve problemático por varias razones. No puedo exigir a mis clientes que confíen en mi auto o certificate firmado localmente. Un certificate de terceros que confía en mis clientes funcionaría pero a less que vaya a crear y comprar un nuevo certificate cada vez que aparezca un controller de dominio que no va a funcionar. Ok … por lo que un certificate de comodín de terceros DEBE trabajar, pero ¿cómo implementar?

Tengo, por supuesto, Google'd y han leído: Cómo habilitar LDAP a través de SSL con una autoridad de certificación de terceros y Habilitar LDAP sobre SSL – Uso de comodín Cert? y Certificado comodín en un DC para LDAPS .

Todos estos son geniales, pero todavía me falta algo …
¿Cuáles son los pasos exactos a seguir?

¿Estoy simplemente siguiendo los pasos de Cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros, pero utilizando CN=*.domain.ext lugar de CN=mydc.domain.ext ?

Además de la sensación de exponer AD DS a Internet – llamada KB 321051 dice:

El nombre de dominio completo de Active Directory del controller de dominio (por ejemplo, DC01.DOMAIN.COM) debe aparecer en uno de los siguientes lugares:

El nombre común (CN) en el campo Asunto. DNS en la extensión Subject Alternative Name.

El requisito de FQDN significa que el comodín no funcionará, o por lo less normalmente no debería funcionar (como siempre depende del código del cliente).