Não é uma pergunta tão idiota quanto parece:
- Um ponto de acesso está configurado para fazer o backup da autenticação em um servidor RADIUS.
- O servidor RADIUS possui sua própria autoridade de certificação que emite certificados para os clientes. Certificados, uma vez emitidos, podem ser revogados.
- Quando um cliente se conecta, ele apresenta seu certificado por meio do ponto de acesso ao servidor RADIUS, que decide se a autenticação deve ser bem-sucedida. O certificado deve ser assinado pelo servidor e não deve aparecer em sua lista de revogação de certificados.
- Se o cliente for autenticado com sucesso, o servidor RADIUS enviará uma chave de criptografia de volta ao ponto de acesso, que é usado para criptografar a conexão.
Esta configuração (sopa alfanumérica: EAP-TLS via WPA2 / 802.1x) significa que o cliente não compartilha um segredo simples com o servidor.