Посоветуйте пожалуйста железку со встроенным сервером RADIUS, железка должна поддерживать не только логин/пароль, а сертификаты,
ценой желательно до 15000-20000 для малого офиса (5-10 клиентов ноутбуки, смартфоны), желательно со встроенным Wi-Fi тоже с поддержкой 802.1x VLAN MultipleSSID

цель авторизация Wi-Fi по сертификатам для офиса
может какой-нибудь микротик справится?

из точек с функционалом B,G,N,AC 2,4GHz 5GHz 802.1x VLAN MultipleSSID нашёл только зукселя за 15000 и это очень дорого и без радиус сервера

Нет такого в природе.
По следующим причинам:
1) RADIUS это протокол-посредник. Этакий переводчик с одного диалекта, на другой.
Еще его можно представить как некий искуственный упрощенный язык созданный для межнационального общения, типа проф. жаргона или международного английского.
Так же хорошим пимером являются рецепты на латыни.

Сами радиус-сервера не хранят аутентификационную информацию, а всего лишь переадресуют запросы, т.е. это специализированные прокси.
Соответсвенно наличие радиус-сервера без сервера сертификатов (или иного сервера аутентификации ) бесмысленно.

Многие современные железяки (точнее их ОС) могут напрямую подключаться к серверам аутентификации типа MS AD, сeрверам CA, источникам одноразовых паролей и т.п.

2) Технология расчитана на Enterprse, соответсвенно уровень вхождения от $600-800

Ну ладно готовых железок нет, а если софтовый
FreeRadius на отдельном компе под Win8.1, обычный коммутатор "D-Link DGS-1008D" (или нужен с поддержкой 802.1x ?) и вот эта точка "ZyXEL NWA1123-AC" будут работать с сертификатами?
Клиенты ноуты под Win8.1 Win10, смартфоны

Схема: Asus RT-66 в него воткнут инет - с него провод в D-Link DGS-1008D - дальше провод в комп с FreeRadius
ну и точка "ZyXEL NWA1123-AC" втыкается куда-нибудь в D-Link DGS-1008D

Я почему спрашиваю, нет оборудования поддерживающего 802.1x, а покупать Enterprise точку за 15к не зная заработает или нет.

покупать Enterprise точку за 15к не зная заработает или нет. »
для реализации точно такой же задачи использовал обычную точку tp link wd901nd с 3 версией родной прошивки, на которую была далее установлена прошивка openwrt + пакет wpad(нужен работы с радиус сервером). Точка подключена через внутреннюю сеть к радиус серверу, который в свою очередь работает уже с AD.