Pois é cara, pior que eles fazem questão dos certificados! Cara, valeu aí por tudo aí! Só mais uma pergunta, o pfsense aceita de boa o freeradius, correto? Só pra ter certeza! Esse fds vou colocar ele no servidor lá!
Sim, o pfsense integra na boa com o FreeRadius, vai integrar até com outros servidores RADIUS que vc possa usar, pois a "conversa" entre eles vai ser por um protocolo padronizado (o RADIUS).
Os certificados é que vão te dar um trabalhinho pra acertar. Vc primeiro precisa descobrir onde e como esses certificados foram emitidos. Se forem auto-assinados, lascou, vc tem simplesmente que mandar ignorar o erro e aceitá-los na marra, enquanto estiverem no período de validade e íntegros.
Se tiverem sido assinados por uma CA não registrada (é comum que isso aconteça quando se usa uma CA interna), vc tem que localizar o certificado raiz dessa CA e colocá-lo num diretório específico de seu servidor de autenticação, e esse diretório vai depender de quem está reclamando o erro.
A alternativa final é vc gerar novos certificados, com uma CA já reconhecida pelo destino, e substituir os que estão em uso.
Resumindo: não quero estar na sua pele. E eu falo isso de cadeira, já estive nela.