Hallo Lars,
ich kann nicht auf alle Fragen antworten.
nein: auch das „neue“ Zertifikat ist selbstsigniert. Das hat dann auch nix mit dem Server zu tun: es ist dein Browser, der dem Zertifikat nicht vertraut.
Dort kannst du es speichern: dann ist die Meldung weg.
nix: der Freeradius der OPNSense funktioniert sowiso nciht so wie wir das brauchen, weswegen wir einen extra Freeradius verwenden. Manche haben den im Docker und manche auf dem Server installiert.
Freeradius sollte durch ein selbst signiertes Zertifikat abgesichert sein.
Dieses sollte extra für diesen Zweck erstellt werden. Ab Android 11 kann es sein, dass man auf dem Client die zum Erstellen des Zertifikats verwendete CA importiert (siehe hier: Domain angeben bei Android 11 unifi Enterprise WPA2 - #15 von tjordan )
Das wird auch bei zukünftigen iOS Versionen notwendig sein.
das liegt daran, dass es schonmal eine Verbindung zur OPNsense gab und die OPNSense nun aber als „nicht mehr die alte“ erkannt wird (Fingerprint ist anders) deswegen wird gewarnt. Wenn du das einmal akzeptierst, dann ist die neue die aktuelle und vertraute Verbindung: das soll also so sein.
LG
Holger