Перейти в каталог, в котором будет сохранен ключ и сертификат:

# cd /var/lib/samba/private/tls/

Создать закрытый ключ (2048 бит) и самоподписанный сертификат, действительный в течение 1 года. Важно при запросе Common Name ввести полное доменное имя контроллера домена, для которого создается сертификат:

# openssl req -newkey rsa:2048 -keyout myKey.pem -nodes -x509 -days 365 -out myCert.pem

Generating a RSA private key
........................+++++
...........+++++
writing new private key to 'myKey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (e.g., your name or your server's hostname) []:dc1.test.alt
Email Address []:

Ограничить права на закрытый ключ:

# chmod 600 myKey.pem

В файле smb.conf указать следующие параметры:

tls enabled = yes
tls keyfile = tls/myKey.pem
tls certfile = tls/myCert.pem
tls cafile =

Перезапустить Samba.