wir setzen aktuell linuxmuster mit einem WLAN_BringYourOwnDevice (BYOD) und Nextcloud unter Docker ein. Bei Nextcloud arbeiten wir mit letsenycrypt-TLS-AutoCertRenewal.
Im internen Schulnetz nervt die Zertifikats-Sicherheitswarnung der Schulconsole und bei dem WLAN_BYOD ist die captivePortal-Anmeldeseite ebenfalls aktuell nur mit Warnung aufzurufen. Unsere interne und externe Domäne ist unterschiedlich. Und die interne Landschaft noch weiter nach außen öffnen, wollen wir auch nicht. Damit fällt letsencrypt vermutlich schon raus.
wenn die interne Domain eine offizielle ist und Du sie registriert hast, dann würde ich einfach auf irgendeiner Maschine die Zertifikate mit Let’s Encrypt generieren lassen und dann verteilen.
genau das ist leider nicht der Fall. Für die externe Domäne haben wir das in der nextcloud so gemacht, aber intern ist die Domäne anders und eben nicht offiziell bzw. nicht von uns registriert.
Deswegen bin ich auf der Suche nach Alternativen.
dann gibt es keine wirklich gute Lösung. Du kannst das selbsterstellte Zertifikat noch verbessern (siehe das erwähnte Skript), aber Deine CA muss auf allen Geräten importiert werden.
ich möchte darauf hinweisen, dass es nicht vorgesehen ist Radiusdomänen
mit „echten“ Zertifikaten aus zu statten.
Wenn man im Internet nach der Frage sucht, dann findet man viele
Diskussionen dazu: meiner Meinung nach gewinnen die, die sagen: man
macht eine selbstsigniertes Zertifikat und importiert die CA an den Geräten.
Ja, das ist aufwändig: aber nicht alles was einfacher ist, ist auch
besser und sicherer.