Lo siento, ignora mis comentarios anteriores. Al principio, malinterpreté tu pregunta.
La red de eduroam le está pidiendo que acepte su certificado para que su dispositivo pueda usar la clave pública vinculada al certificado para asegurarse de que el servidor es quien dice ser y enviar sus credenciales de inicio de sesión de forma segura a la red. Así que sí, esto tiene que ver con la 'Empresa' en WPA Enterprise, ya que el modo 'Personal' (PSK) de WPA no le permite controlar el acceso a la red por usuario.
Para expandir un poco eso: en WPA, las comunicaciones se cifran simétricamente usando una clave que se genera en un llamado protocolo de enlace de cuatro vías a partir de un secreto previamente compartido, valores aleatorios que cambian para cada sesión y algunos puntos de acceso específicos información. Si está interesado en los detalles del protocolo de enlace, aquí es una excelente respuesta de pila de intercambio que los explica.
La diferencia entre el modo personal y el de empresa radica en cuál es el secreto precompartido. En el modo personal, el secreto es una frase de contraseña predeterminada (creo que entre 8 y 63 caracteres de longitud). Los usuarios se "autentican" de forma implícita a través de su conocimiento de la frase de contraseña, que obviamente es menos seguro que obligarlos a demostrar realmente que son una cierta persona autorizada para usar la red. Un problema adicional es que los usuarios pueden escuchar a escondidas las conversaciones de los demás si graban el saludo de otra persona al comienzo de su sesión.
Por otra parte, el modo de empresa permite una multitud de métodos de autenticación que son manejados por un servidor llamado RADIUS. En su caso, la red de eduroam parece utilizar el método EAP-TTLS o PEAP, que se basan en un certificado X.509 para autenticar el servidor y establecer un túnel TLS seguro para enviar las credenciales de inicio de sesión del usuario. Lo siguiente se ha tomado de la sección de preguntas frecuentes del sitio web de la red eduroam (énfasis mío):
En eduroam, la comunicación entre el punto de acceso y la institución de origen del usuario se basa en el estándar IEEE 802.1X; 802.1X abarca el uso de EAP, el Protocolo de autenticación extensible, que permite diferentes métodos de autenticación. Dependiendo del tipo de método EAP utilizado, se establecerá un túnel seguro desde la computadora del usuario a su institución de origen a través del cual se llevará la información de autenticación real (nombre de usuario / contraseña, etc.) (EAP-TTLS o PEAP) , o se utilizará la autenticación mutua mediante certificados públicos X.509, que no es vulnerable a las escuchas ilegales (EAP-TLS).
[fuente]
Como puede ver, los métodos de autenticación alternativos también podrían incluir el uso de certificados del lado del cliente para la autenticación de usuarios.
Ahora para volver a su pregunta, el propósito del certificado del lado del servidor aquí es evitar que otra persona se haga pasar por el punto de acceso y robe sus credenciales de inicio de sesión.