Fichiers certificat

mais je peux pas créer dans cette exemple qui me donne un certificat pour le serveur et cetificat pour le client etc puisque nous avons besoin de l'authentification par le serveur radius

J'avoue ne pas très bien comprendre d'où sortent ces certificats, mais beaucoup font référence à :
http://web.archive.org/web/20180716153148/http://www.nantes-wireless.org/actu/actu/IMG/txt

... notament :
http://juliper.free.fr/radius/etape2.html
https://forums.commentcamarche.net/forum/affich-16789452-fichiers-de-certificats-openssl

D'après ce qui est dit ici tu as des scripts installé avec freeradius pour les générer :
https://forums.commentcamarche.net/forum/affich-16789452-fichiers-de-certificats-openssl

Mais je pense que tu peux aussi générer par tes propres moyens ces fameux certificats, sans avoir à passer par les fichiers fourni par un tiers (cf openssl).

mais je peux pas créer dans cette exemple qui me donne un certificat pour le serveur et cetificat pour le client etc puisque nous avons besoin de l'authentification par le serveur radius

Je ne connais pas freeradius mais je ne comprends pas ce que tu veux dire. Qu'est ce qui t'empêche de générer des certificats pour le client et pour le serveur ?
https://dst.lbl.gov/~boverhof/openssl_certs.html

Sinon un autre tutoriel qui semble basé sur les fichiers que tu évoques :
http://manmoahn-openssl-net.blogspot.com/2011/07/creating-serverclient-certificate-pair.html

Bonne chance

Pour moi CA.root correspond à un certificat root. Il est produit par une autorité de certification. Je ne suis pas sûr que ça ait du sens dans ton cas mais j'espère que ma réponse n'est pas à côté de la plaque. Je m'explique.

Théorie

Un certificat C1 permet de signer un autre certificat C2. De même C2 peut signer C3 et ainsi de suite. Signer un autre certificat se fait via une clé privée. Vérifier que C1 a signé C2 se fait grâce à la clé publique associée à C1.

Sur ton système un certain nombre de certificats sont préinstallés. Ils correspondent à des autorités réputées de confiance (verisign etc...), qui ont elles-mêmes validés des sites bien connues (par exemple le site de la sncf). Par cette chaîne de confiance, ton navigateur parvient ainsi à établir que le site de la sncf est un site de confiance.

Mais pour que verisign (mettons que ce soit eux) signe le certificat de la sncf, la sncf a acheté un certificat (signé par cette autorité). Maintenant tu as sans doute vu beaucoup de sites https pour lesquels ont te dit que le certificat n'a pu être validé (ce qui peut signifier que quelqu'un d'autre se fait passer pour le site que tu visites, ou plus probablement parce que ce site n'a pas un certificat signé par l'une des autorités présente sur ton système).

En soit rien n'empêche de créer son propre root certificat (qui ne sera signé par personne, a par lui même).
https://tldp.org/HOWTO/SSL-Certificates-HOWTO/x160.html

Dans ce cas on parle de self-signed certificat. Ce certificat peut être utilisé pour signer d'autres certificats en cascade. Si ce self-sligned certificate a été spécifié "de confiance" au système, alors ceux qui en découlent le seront aussi.
https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate

Retour à ton problème

Sauf mauvaise compréhension moi tu es plus dans ce second cas de figure. J'essaierais donc de créer un self signed certificat avec openssl.

Ici tu t'apprêtais à récupérer le certificat d'une autorité qui n'a pas forcément de lien avec ce que tu fais.

Bonne chance