Hallo Thomas,
danke. Hatte deinen Satz
nicht so verstanden, dass du selbst die CA haben/sein musst. Dachte es geht nur um die Erstellung der Zertifikate, was lets encrypt für SSL ja kann. Aber ich hätte es auch an dem halbsatz “im Bedarfsfall das Zertifika zurückziehen” verstehen sollen.
Jetzt verstehe ich: Ich bin die CA (mit openssl), erstelle Clientzertifikate für die PCs, zertifiziere diese mit Hilfe der CA-Zert., importiere die CA-Zert. in Radius und Client, benutze vom Client aus das Client-Zertifikat zur Authentifizierung gegenüber dem Radius. Klingt alles ziemlich logisch.
Irgendjemandem fällt sicher irgendwann ein Szenario ein, bei dem das nicht geht oder zu umständlich ist (z.B: BYOD für Lehrer, deren CA-Import ich nicht supporten will… oder ähnliches).
Herzlichen Dank für die Idee, könnte man doch automatisiert bereitstellen (feature-request an, hm, sophomorix).
LG, Tobias