我有一个 FreeRADIUS 服务器,用于 PEAP/MSCHAPv2 连接,后端为 SQL 用户。在该服务器上,我为域设置了一个 Let's encrypt 证书access.example.org。此证书有效,无论是用于 SSL(例如用于访客门户)还是用于 RADIUS,只要您输入服务器的 FQDN(例如在 Android 上,access.example.org连接到 WiFi 时输入“使用系统证书”/“域”)。
但是,这意味着用户始终必须手动输入所述域名;而且,一些客户端(特别是 iOS)根本不允许手动输入域名。
由于超出此问题范围的原因,我无法预先为任何客户端设备提供证书。是否还有一种方法可以让客户端安全地连接到 WPA2-Enterprise 安全 WiFi 网络,而无需每次都手动“信任”证书?我认为这很快就会变得令人讨厌(除了可能存在安全风险之外?),尤其是因为 LE 证书必须定期更新。
是否可以允许 FreeRADIUS 向客户端提供域名以验证证书?我需要包含任何中间证书或类似的东西吗?