Wenn du passwortbasierte Anmeldung mit Useraccounts willst, kommst du um das Thema RADIUS und (leider) um PEAP-MSCHAPv2 nicht ganz herum.
Der CA-Zertifikat muss nicht zwingend auf dem Endgerät installiert sein, sollte aber. Sonst haben Clients keine Möglichkeit zu prüfen, ob die SSID auch wirklich von dir betrieben ist. (Stichwort: Evil Twin SSID)
Hintergrund: MSCHAPv2 ist die Methode, die genutzt wird, um Zwischen WLAN Client und RADIUS Server die Zugangsdaten zu prüfen. Viele Endggeräte unterstützen es, darum ist sie sehr verbreitet. Es gilt aber schon länger als “kaputt”, so das die Methode wie Client und RADIUS-Server aushandeln, ob die Zugangsdaten des Users korrekt sind.
Der einzige “Schutz” ein TLS-Tunnel darum herum (outer tunnel). Wenn du als Client gar nichts prüfst, kann prinzipiell jeder eine SSID wie dein Netz mit WPA[1|2|3] Enterprise aufsetzen, die auch PEAP-MSCHAPv2 anbietet und die MSCHAP Chalenge abfangen und mit etwas schmalz entziffern. Im Fall von FreeRADIUS wird deshalb von inner-tunnel (hier MSCHAPv2) und outer-tunnel (PEAP = Protected EAP) gesprochen.
Das Problem ist auch im eduroam-Bereich (Unis) diskutiert, de facto installieren viele User das Zertifikat nicht, auch wenn man es ihnen eintrichtet. eduroam CAT ist für diesen Bereich ein Service, der für andere als enterprise-wifi.net kostenlos verfügbar ist. (Die Software Configuration Assitant Tool CAT ist open source und auf github)
Damit kannst du Usern Installer und Profile zur Verfügung stellen, die die Installation des CA-Zertifikats vereinfachen und die User weniger falsch machen können. Bei Android leider nicht, das liegt aber eher an der Problematik, wie Android das einfach nicht so simpel ermöglich.
Hilft dir das bereits etwas?