Использование стороннего сертификата с Active Directory без запроса сертификата

Клиент хочет использовать подписанный COMODO сертификат TLS для LDAPS на контроллере домена Windows Server 2012 R2.

Сертификат уже был приобретен, но CSR не был создан на контроллере домена (согласно https://support.microsoft.com/en-us/kb/321051).

Сертификат полностью отвечает требованиям, которые будут использоваться для ADDS:

• Общее имя - полное доменное имя DC
• Сертификат можно использовать для аутентификации клиента и сервера.
• Сертификат имеет несколько записей SAN для альтернативных DNS-имен контроллера домена.

Теперь я импортировал сертификат, закрытый ключ и все промежуточные сертификаты в хранилище сертификатов локального компьютера и хранилище сертификатов NTDS\Personal.

Однако после импорта сертификата с помощью оснастки MMC "Сертификат" сертификат не используется для LDAPS в ADDS:

Schannel, 36869: сертификат сертификата сервера SSL не имеет прикрепленного к нему свойства информации личного ключа. Чаще всего это происходит, когда резервное копирование сертификата выполняется неправильно, а затем восстанавливается. Это сообщение также может указывать на ошибку регистрации сертификата.

Я вижу, что контроллер домена пытается использовать этот сертификат, потому что сообщение изменяется, если сертификат удален:

В этой системе нет подходящих учетных данных сервера по умолчанию. Это не позволит серверным приложениям, которые ожидают использования учетных данных системы по умолчанию, принимать соединения SSL. Примером такого приложения является сервер каталогов. Приложения, которые управляют своими собственными учетными данными, такие как информационный сервер Интернета, не подвержены этому влиянию.

Есть ли способ добавить этот сертификат, чтобы schannel мог его использовать (у меня есть закрытый ключ, csr, сертификат и все промежуточные сертификаты)?