Ситуация следующая:
На контроллере домена был организован доступ к каталогу по LDAPS с использованием RSA-сертификата. Для настройки аутентификации пользователей в домене по ГОСТ-сертификатам (с использованием токена) на сервер был установлен КриптоПро CSP (3.6.6497) и ГОСТ-сертификат. Аутентификация настроена, но при этом вылезла неприятная проблема: LDAPS не работает.
При обращении клиента к серверу по 636 порту и попытке установить защищённое соединение проходит только этап Client Hello, после чего сервер обрывает соединение (проверено снифером). Интересно то, что при удалении ГОСТ-сертификата контроллера домена работа по LDAPS снова восстанавливается.
Обычный LDAP по 389 порту работает в любом случае.

Чем может быть вызвано такое поведение системы? Возможно ли вообще подобное сосуществование ГОСТ и RSA?

Как можно решить подобную проблему?

В качестве клиента выступает Oracle Identity Manager. О ГОСТе он точно ничего не знает, поэтому использовался RSA сертификат.
Softerra LDAP Administrator показал аналогичные результаты при использовании SSL - отваливается после Client Hello.
Утилитка ViewDirCert от Novell - аналогично.

LDP отваливается аналогично при SSL соединении (по обычному LDAP нормально соединяется).
Пробовал с самого контроллера и с рабочей станции, на которой КриптоПро CSP.

В лог выкидывает

ld = ldap_sslinit("192.168.111.5", 636, 1);
Error <0x0> = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, LDAP_VERSION3);
Error <0x51> = ldap_connect(hLdap, NULL);
Server error: empty
Error <0x51>: Fail to connect to 192.168.111.5.

В журнале пусто и на контроллере, и на рабочей станции.
Прям складывается впечатление, что так оно и должно быть. )

Спасибо. Будет интересно попробовать.