Freeradius 和自簽名證書

我們目前的 wi-fi 基礎設施基於一個 Debian 盒子，該盒子託管帶有 LDAP 後端的 Freeradius。目前我們有兩個 802.1x 保護的 SSID，一個公共網路和一個專用網路：根據 LDAP 屬性，使用者可以連接到第一個或第二個網路。

由於我們的 Freeradius 有自簽名證書，我們在使用 Windows 7 客戶端時遇到了一些問題，需要安裝伺服器證書才能執行連接：這有點煩人，尤其是對於公共網路，因為我們需要設置每台進入的電腦。

我想知道是否有一種方法（除了為 freeradius 購買商業證書之外，遺憾的是我讀到 [ http://wiki.freeradius.org/guide/Certificate-Compatibility ] Windows 客戶端不接受萬用字元證書，我們已經必須…）讓客戶更容易接受該證書：解決方法可能是通過強制門戶登錄？是否可以僅為公共網路設置強制門戶？

請求者無法驗證證書中的 C​​N，因此您可以向請求者出示任何證書（萬用字元證書除外）並且它會起作用。

除了安裝本地 CA 或獲得由受信任的商業 CA 簽名的證書之外，您真的別無選擇。

就強制門戶而言，不可能回退到 WPA/2-Enterprise 網路上的強制門戶。

您可以使用強制門戶設置第三個未加密的 SSID，以幫助使用者引導、提供無線網路配置和證書。

這是學術網路中的常見做法，其中Cloudpath xpressconnect或eduroam cat用於部署配置。

引用自：https://serverfault.com/questions/674088