У меня есть сервер FreeRADIUS, настроенный для соединений PEAP / MSCHAPv2 с серверной частью пользователя SQL. На этом сервере я установил сертификат Let's encrypt для домена access.example.org
. Этот сертификат действителен как при использовании для SSL (например, для гостевого портала), так и при использовании для RADIUS, при условии, что вы указали полное доменное имя сервера (например, на Android установите access.example.org
в «Использовать системные сертификаты» / «Домен» при подключении к WiFi).
Однако это означает, что пользователю всегда придется вводить указанный домен вручную; Кроме того, некоторые клиенты (в частности, iOS) вообще не разрешают ввод домена вручную.
По причинам, выходящим за рамки этого вопроса, я не могу предварительно предоставить сертификаты никаким клиентским устройствам. Есть ли еще способ разрешить клиентам безопасно подключаться к защищенной сети Wi-Fi WPA2-Enterprise без необходимости каждый раз вручную «доверять» сертификату? Я полагаю, что это довольно быстро стало бы раздражать (помимо возможной угрозы безопасности?), Тем более что сертификат LE необходимо обновлять довольно регулярно.
Можно ли разрешить FreeRADIUS предоставлять клиентам доменное имя для проверки сертификатов? Нужно ли мне включать какие-либо промежуточные сертификаты или что-то подобное?