Как заставить Linux-сервер использовать аутентификацию RADIUS с сертификатом?

Поиск в Google всего, что связано с конфигурацией RADIUS, имеет черт возьми, так как многие термины смешиваются вместе, делая результаты поиска бесполезными, так что ...

У меня есть сервер RADIUS, предлагающий связь на основе EAP-TTLS с использованием сертификата, подписанного частным ЦС, к которому у меня есть как общедоступные и приватные ключи. У меня уже есть этот сервер, настроенный для приема запросов с заданного IP-адреса.

Как мне правильно установить открытый ключ CA в ящик, чтобы:

• Ящик использовал его для проверки того, что сервер RADIUS является тем, о ком говорит это

• То, что связь зашифрована

• То, что ящик не будет доверять никакому другому корневому ЦС для аутентификации пользователей, выполняющих вход в ящик