使用 SSL 证书进行安全 LDAP 身份验证

我想与外部服务提供商建立安全的 LDAP 身份验证。最终用户目前对服务提供商使用不安全的 LDAP。服务提供商承认他们最初的实现方式是通过数据包捕获暴露凭据。

我已经评论过： https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority

他们的本地域名是 *.local。产品制造商需要由有效证书颁发机构签名的 SSL 证书。这很好。我可以为该域创建 SSL 证书，但它与目录服务所拥有的证书不匹配。

我不确定外部身份验证是如何呈现给 LDAP 服务器的，它是否只是传递带有域名的用户名，或者它是否首先验证 LDAP 服务器。

问题 - 我是否需要重命名域名以匹配？添加 UPN 后缀是否可以解决问题？

编辑：需要通过互联网进行外部访问，因此需要保护 LDAP。

更新文本以提高清晰度