Реализация закрепления сертификата на клиенте openldap

Я пытаюсь найти способ заставить openldap (на стороне клиента, RedHat 7.6) принять только один конкретный сертификат сервера TLS для конкретного сервера и отклонить любой другой сертификат, даже если он был выдан тем же центром сертификации - в основном, я хочу закрепить сертификат TLS. Конечно, в идеальном мире не должно быть никаких других действительных сертификатов, но я хочу защитить от несанкционированных сертификатов.

Я не нашел никакой явной документации о том, как это сделать.

У меня есть подозрение, что я могу манипулировать файлом, указанным в TLSCACertificateFile, удалив все CA и добавив только один авторизованный сертификат.

Это, кажется, нарушает документацию, хотя (выделение мое):

Эта директива указывает файл формата PEM, содержащий сертификаты для CA, которым доверяет slapd. Сертификат для CA, который подписал сертификат сервера, должен быть включен в эти сертификаты. Если подписывающий ЦС не являлся (корневым) ЦС верхнего уровня, должны присутствовать сертификаты для всей последовательности ЦС от подписывающего ЦС до ЦС верхнего уровня. Несколько сертификатов просто добавляются в файл; порядок не имеет значения.

Как еще я могу выполнить то, что пытаюсь сделать?