heute mal ein Feature-Request. Wäre es möglich, das man in die Schulkonsole eine Art PKI integriert? Im Moment ist es ohne weiteres nicht möglich, dass Benutzer (Lehrer) sich selbst Zertifikate erstellen können, z.B. für EAP-TLS-Radius Authentisierung. Man muss dazu, z.B. auf der opnSense ein eigene CA generieren und da die Zertifikate erstellen. Eine CRL kann man zwar auch exportieren, aber einen Automatismus dafür hab ich bislang nicht gefunden.
Das ist bislang mit den Bordmitteln alles sehr „mit der Hand am Arm“ und ohne zutun eines Administrators quasi nicht zu bewerkstelligen.
Wenn sich das realisieren ließe, wäre das ebenfalls ein nahezu grandioses Alleinstellungsmerkmal. Mir ist keine Schullösung bekannt die das bietet.
solange es die Möglichkeit des Exports von Benutzerzertifikaten über die Schulkonsole nicht gibt, sei hier eine Alternativlösung erwähnt: Mit openxpki (opensource, läuft auf Debian (es gibt fertige Builds) (NICHT Ubuntu!!) ) kann man das recht komfortabel abbilden. Über die entsprechende Modul-Konfiguration kann man dafür sorgen, dass z.B. Benutzer sich mit ihren AD-Credentials anmelden und dort selbst ihre Zertifikatsanträge stellen können, oder Benutzer der Gruppe global-admins die Operatoren-Rolle übernehmen. Die CRL kann man per URL-Download z.B. auf einen RADIUS-Server ziehen und so dafür sorgen, dass Benutzer oder Clients mit zurückgezogenen Zertifikaten sich nicht mehr am WLAN authentisieren können.
Viellecht ist das für den ein oder anderen interessant.