1.Веб-сервер отправляет клиенту случайное число и метку времени. Они должны быть подписаны сервером своим сертификатом для возможности проверки клиентом.
2.Клиент подписывает это число и метку своим сертификатом с указанием времени подписи.
3.Сервер получает ответ, проверяет подпись и отправленные данные, если с ними все в порядке, то клиент проходит процедуру аутентификации и ему предоставляется доступ к интернету. Периодически данная процедура повторяется для проверки точки подключения и подключенного клиента. Другими словами это реализация аутентификации аналогичную IEEE 802.1x EAP-TLS

Таким образом нужно чтобы веб-сервер выполнял вышеперечисленные криптографические функции, которые (по умолчанию TLS делает) для установления защищенного соединения клиента с сервером. В целом нужно реализовать TLS соединение(между клиентом и сервером) посредством криптографических функций языков программирования.


Я так представляю алгоритм: открытая точка доступа, подключенная к RADIUS серверу (сервер принимает решение о предоставлении доступа пользователю на основе внешнего скрипта). Скрипт выполняет криптографические функции, например, openssl. В результате скрипт возвращает RADIUS серверу ответ.


На стороне клиента: Сертификат клиента и корневой должны предварительно импортированы на ПК. Затем подключается к точке доступа, которая перенаправляет на страницу, где пользователю будет выведено сообщение с результатом об успешной/неуспешной аутентификации.