O compartilhamento de certificados é basicamente o mesmo que o compartilhamento de senhas. Se o certificado for comprometido, você terá que reconfigurar todos os clientes para alterar o certificado, enquanto, se tiver um certificado por cliente, poderá simplesmente revogar o certificado comprometido. Além disso, o certificado compartilhado pode significar que os clientes podem descriptografar o tráfego enviado para e de outros clientes, enquanto certificados separados significa que os clientes só podem descriptografar seu próprio tráfego. Se você está indo para o esforço de configurar o WPA2 com certificados, sugiro que você faça isso corretamente e gere certificados para cada cliente.
Suponho que você esteja usando o EAP-TLS aqui, e nesse caso você não configura usuários especificamente no arquivo users . O fato de um cliente ter um certificado e uma chave assinados pela autoridade de certificação (ou seja, o parâmetro CA_file ) e não estar na CRL significa que ele tem acesso.
Com o EAP-TLS, o usuário fornece um nome de usuário, certificado e chave privada (possivelmente protegidos com uma senha). Observe que não há senha com a qual o nome de usuário possa ser autenticado (ou seja, os usuários podem inserir qualquer nome de usuário desejado). Se você quiser usar o nome de usuário para tomar decisões sobre políticas, é necessário validar se o nome de usuário fornecido pelo usuário está correto. Acho que isso é feito configurando o nome de usuário que você deseja usar como o nome comum no certificado quando ele é gerado e ativando o parâmetro check_cert_cn . Isso fará com que o servidor rejeite a solicitação se o Nome Comum no certificado fornecido pelo usuário não corresponder ao nome de usuário fornecido. Você pode adicionar entradas ao arquivo users correspondente a User-Name para definir sua política.