… wir haben heute eine andere Lösung gefunden, die viel schneller umsetzbar war:
Da wir Unifi-Accesspoints haben, konnten wir im Controller die MAC-Adressfilterung aktivieren und eine Whitelist führen. So kommen nur noch die Geräte in das WLAN, die ausdrücklich zugelassen werden und die ganzen Schüler Smartphones sind wieder draußen 
. Das war schnell umgesetzt – auch wenn es nun so ist, dass die IPs über die devices.csv geführt werden, doch der WLAN-Zugang über die MAC-Adressen im Unifi-Controller geregelt wird! Vielleicht nicht so elegant wie ein Zertifikat, doch es funktioniert…
Ich markiere diesen Thread (für mich) als gelöst. Wenn jemand in Sachen WPA2-Enterprise und Zertifikat weitere gute Erkenntnisse hat, wäre ich trotzdem interessiert daran …
Viele Grüße,
Michael