Перейти в каталог, в котором будут созданы ключ и сертификат:

# cd /var/lib/samba/private/tls/

Создать ключ сервера:

# openssl genrsa -out myKey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..................................................................+++++
..............................................................................................+++++
e is 65537 (0x010001)

Сгенерировать запрос на сертификат (CSR). Важно при запросе Common Name ввести полное доменное имя контроллера домена, для которого создается сертификат:

# openssl req -new -key myKey.pem -out myCSR.pem

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (e.g., your name or your server's hostname) []:dc1.test.alt
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Получить доверенный сертификат от CA, используя CSR (myCSR.pem).

Сохранить доверенный сертификат (в примере myCert.pem) в каталоге с ключом сервера. Если CA требует промежуточные сертификаты, файл с промежуточными сертификатами следует также сохранить в том же каталоге, что и другие файлы (например, myIntermediate.pem).

Добавить следующие параметры в файл smb.conf:

tls enabled  = yes
tls keyfile  = tls/myKey.pem
tls certfile = tls/myCert.pem
tls cafile   = tls/myIntermediate .pem

Перезапустить Samba.