Hallo Michael,
der Post von Fabian klärt einiges für mich.
Ich denke, es gibt seeeehr viele Arten es zu machen, die verbreitetsten sind wohl
- PEAP/EAP-MSChapv2 nach Anleitung von @foer und momentan offiziell und
- EAP-TTLS nach Anleitung von @zefanja s blog mit der Ergänzung, dass man es so machen kann wie Fabian vorschlägt: erstmal das Zertifikat ignorieren und als sicherere Variante ein selbstsigniertes Zertifikat importieren. Die Sicherheit kommt daher, dass du gezwungen wirst das korrekte Zertfikat zu installieren und damit die Validierung einmal selbst vornimmst, während bei LE-Zertifikaten man einfacher einen MiTM-Angriff machen kann.
„Gleich richtig“ ist so eine Sache: Erstens ist es schwerwiegend, wenn linuxmuster.net irgendwas empfiehlt und zweitens ist hier vllt. eine Abwägung im Spiel, zwischen Komfort und Sicherheit.
Aber ich tendiere gerade auch zu @zefanja und @fkretzschmar: EAP-TTLS mit selbstsigniertem Zertifikat, das man - wenn einem die Sicherheit egal ist - auch einfach ignoriert.
VG, Tobias