Windows Native VPN Client with Yubikey: So beheben Sie den EAP-TLS Fatal Alert „access denied”

In der heutigen zunehmend mobilen Arbeitswelt ist der sichere Zugriff auf Unternehmensressourcen über virtuelle private Netzwerke (VPN) unerlässlich. Organisationen setzen verstärkt auf Multi-Faktor-Authentifizierung (MFA), um die Sicherheit zu erhöhen. Eine besonders robuste Methode ist die Verwendung eines Hardware-Sicherheitsschlüssels wie des YubiKey in Kombination mit einem Windows Native VPN Client und EAP-TLS für die Authentifizierung.

Doch selbst bei der besten Implementierung können technische Hürden auftreten. Ein häufiges und frustrierendes Problem, das Administratoren und Benutzern begegnet, ist der EAP-TLS Fatal Alert „access denied”. Dieser Fehler verhindert den Aufbau der VPN-Verbindung und kann auf eine Vielzahl von Fehlkonfigurationen oder Problemen auf Client- oder Serverseite hindeuten. Dieser Artikel bietet eine umfassende Anleitung zur Behebung dieses Fehlers, damit Ihre Benutzer wieder reibungslosen und sicheren Zugriff erhalten.

Grundlagen verstehen: Windows VPN, YubiKey und EAP-TLS

Bevor wir uns der Fehlerbehebung widmen, ist es wichtig, die beteiligten Komponenten und deren Zusammenspiel zu verstehen.

Der Windows Native VPN Client

Der in Windows integrierte VPN-Client bietet eine native Möglichkeit, sich mit verschiedenen VPN-Protokollen wie IKEv2, SSTP oder L2TP/IPsec zu verbinden. Er ist tief in das Betriebssystem integriert und bietet eine zuverlässige Basis für VPN-Verbindungen. Für die hohe Sicherheit, die wir anstreben, wird oft IKEv2 mit EAP-TLS verwendet, da dies eine beidseitige Zertifikatsauthentifizierung ermöglicht.

YubiKey als Sicherheitsschlüssel

Der YubiKey ist ein Hardware-Sicherheitsschlüssel, der verschiedene Authentifizierungsprotokolle unterstützt, darunter PIV (Personal Identity Verification) für Smartcard-Funktionen. Im Kontext von EAP-TLS dient der YubiKey als sicherer Speicher für das Client-Zertifikat und dessen privaten Schlüssel. Dies gewährleistet, dass der private Schlüssel niemals die Hardware des YubiKeys verlässt und somit maximalen Schutz bietet.

EAP-TLS (Extensible Authentication Protocol – Transport Layer Security)

EAP-TLS ist ein robustes, zertifikatsbasiertes Authentifizierungsprotokoll, das für seine hohe Sicherheit geschätzt wird. Es verwendet zwei Zertifikate:

• Ein Server-Zertifikat, das der VPN-Server verwendet, um seine Identität gegenüber dem Client zu beweisen.
• Ein Client-Zertifikat, das der Client (in unserem Fall auf dem YubiKey gespeichert) verwendet, um seine Identität gegenüber dem VPN-Server zu beweisen.

Dies ist eine sogenannte gegenseitige Authentifizierung, bei der sowohl der Client als auch der Server die Identität des jeweils anderen überprüfen. Der „access denied”-Fehler tritt auf, wenn diese gegenseitige Authentifizierung aus irgendeinem Grund fehlschlägt, meistens weil das Client-Zertifikat nicht korrekt präsentiert oder vom Server nicht akzeptiert wird.

Häufige Ursachen für den „access denied” Fatal Alert

Der EAP-TLS Fatal Alert „access denied” ist oft generisch und weist auf ein tiefer liegendes Problem hin. Die Ursachen lassen sich grob in folgende Kategorien einteilen:

1. Probleme mit dem Client-Zertifikat auf dem YubiKey

• Fehlendes oder falsches Zertifikat: Das erforderliche Client-Zertifikat ist nicht auf dem YubiKey gespeichert oder es ist das falsche Zertifikat (z.B. ein Signatur- statt eines Authentifizierungszertifikats).
• Abgelaufenes oder widerrufenes Zertifikat: Das Zertifikat ist nicht mehr gültig. Der Server überprüft die Gültigkeit oft über Certificate Revocation Lists (CRL) oder Online Certificate Status Protocol (OCSP).
• Falsche Schlüsselverwendung (EKU): Das Zertifikat besitzt nicht die notwendige erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für die Client-Authentifizierung (OID 1.3.6.1.5.5.7.3.2).
• PIN-Probleme: Der YubiKey PIN ist falsch, gesperrt oder der YubiKey ist nicht korrekt initialisiert.
• Zugriffsprobleme auf den privaten Schlüssel: Obwohl das Zertifikat sichtbar ist, kann der private Schlüssel aufgrund von Berechtigungsproblemen oder einem fehlerhaften YubiKey-Minidriver nicht verwendet werden.

2. Probleme mit der Windows Client-Konfiguration

• Falsche VPN-Verbindungseinstellungen: Der VPN-Client ist nicht richtig konfiguriert, um EAP-TLS oder die Verwendung einer Smartcard zu nutzen.
• Vertrauenswürdigkeit des Server-Zertifikats: Das Stammzertifikat der Zertifizierungsstelle (CA), die das VPN-Server-Zertifikat ausgestellt hat, ist nicht im „Vertrauenswürdige Stammzertifizierungsstellen”-Speicher des Windows-Clients installiert.
• YubiKey nicht erkannt: Der YubiKey wird vom System nicht als Smartcard erkannt (z.B. fehlende Treiber oder Dienste).

3. Probleme auf der Serverseite (RADIUS/NPS/VPN-Server)

• NPS/RADIUS-Richtlinien: Die Netzwerkrichtlinienserver (NPS)-Richtlinien (oder RADIUS-Richtlinien) sind zu restriktiv oder falsch konfiguriert und lehnen das Client-Zertifikat ab. Dies kann beispielsweise an fehlenden EKU-Prüfungen, falschen Attributen oder mangelnder Gruppenzuordnung liegen.
• Vertrauenswürdigkeit der Client-CA: Der VPN-Server oder der RADIUS-Server (NPS) vertraut der Zertifizierungsstelle (CA) nicht, die das Client-Zertifikat ausgestellt hat. Das Stammzertifikat der Client-CA ist nicht im „Vertrauenswürdige Stammzertifizierungsstellen”-Speicher des Servers installiert.
• CRL/OCSP-Zugriff: Der Server kann die CRL-Verteilungspunkte oder OCSP-Responder der Client-CA nicht erreichen, um den Widerrufsstatus des Client-Zertifikats zu überprüfen.
• VPN-Server-Zertifikatsprobleme: Auch wenn der Client den Fehler meldet, kann ein Problem mit dem Server-Zertifikat (z.B. abgelaufen, widerrufen) auf dem VPN-Server die Ursache sein.

Schritt-für-Schritt-Fehlerbehebung

Die systematische Herangehensweise ist entscheidend, um den „access denied”-Fehler zu beheben.

Schritt 1: Überprüfung des YubiKeys und Client-Zertifikats

1. YubiKey-Erkennung und PIN-Funktionalität prüfen:
   • Stellen Sie sicher, dass der YubiKey korrekt in einen USB-Port eingesteckt ist.
   • Öffnen Sie den YubiKey Manager (kostenlos von Yubico). Navigieren Sie zu „Applications” > „PIV”. Überprüfen Sie, ob der YubiKey erkannt wird und ob Sie die PIV-Zertifikate anzeigen können. Versuchen Sie, den PIN zu ändern oder zu entsperren, um die Funktionalität zu testen.
   • In der Windows-Systemsteuerung unter „Smartcard-Dienste” sollte der YubiKey als Smartcard-Leser und die Smartcard selbst erkannt werden.
2. Client-Zertifikat auf dem YubiKey verifizieren:
   • Verwenden Sie den YubiKey Manager, um die Details des PIV-Zertifikats (auf Slot 9a für Authentifizierung) zu überprüfen. Achten Sie auf:
     • Gültigkeitsdatum: Ist das Zertifikat abgelaufen?
     • Extended Key Usage (EKU): Enthält es die „Client Authentication” (Client-Authentifizierung) EKU? (OID 1.3.6.1.5.5.7.3.2)
     • Zertifikatskette: Ist die vollständige Kette bis zur Stamm-CA vorhanden?
   • Öffnen Sie den Windows-Zertifikatsspeicher (certmgr.msc). Navigieren Sie zu „Persönlich” > „Zertifikate”. Wenn das Zertifikat auf dem YubiKey korrekt erkannt wird, sollte es hier erscheinen (oft mit einem Smartcard-Symbol). Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie „Alle Aufgaben” > „Private Schlüssel verwalten”. Dies sollte anzeigen, dass der private Schlüssel auf einer Smartcard gespeichert ist.

Schritt 2: Überprüfung der Windows VPN-Client-Konfiguration

3. VPN-Verbindungseinstellungen überprüfen:
   • Navigieren Sie zu „Einstellungen” > „Netzwerk und Internet” > „VPN”. Wählen Sie die entsprechende VPN-Verbindung aus und klicken Sie auf „Erweiterte Optionen” > „Adapteroptionen ändern”.
   • Rechtsklicken Sie auf die VPN-Verbindung und wählen Sie „Eigenschaften”.
   • Wechseln Sie zur Registerkarte „Sicherheit”. Stellen Sie sicher, dass „IPsec-Einstellungen” auf „Automatischer” oder „IKEv2” steht und unter „Authentifizierung” die Option „Zertifikat von meinem Computer verwenden” oder „Smartcard verwenden” aktiviert ist. Im Falle des YubiKeys sollte es meist „Smartcard verwenden” sein.
   • Überprüfen Sie, ob unter „EAP-Einstellungen” (oder „Eigenschaften” neben „Microsoft: EAP-TLS”) die Option „Zertifikat auf dem Smartcard verwenden” oder das spezifische Client-Zertifikat ausgewählt ist. Manchmal muss hier explizit das richtige Zertifikat aus einer Liste ausgewählt werden, wenn mehrere vorhanden sind.
4. Vertrauenswürdigkeit des VPN-Server-Zertifikats prüfen:
   • Stellen Sie sicher, dass das Stammzertifikat der CA, die das VPN-Server-Zertifikat ausgestellt hat, im Zertifikatsspeicher des Clients unter „Vertrauenswürdige Stammzertifizierungsstellen” installiert ist (certmgr.msc). Ohne dieses Vertrauen kann der Client die Identität des Servers nicht validieren.

Schritt 3: Analyse der Windows-Ereignisprotokolle

Die Windows-Ereignisprotokolle sind eine Goldgrube für die Fehlerbehebung.

5. Überprüfen des Event Viewers:
   • Öffnen Sie den Ereignisanzeige (Event Viewer) (eventvwr.msc).
   • Navigieren Sie zu „Anwendungs- und Dienstprotokolle” > „Microsoft” > „Windows” > „WLAN-AutoConfig” > „Operational”. Hier finden Sie detaillierte Informationen über EAP-Fehler. Suchen Sie nach Ereignissen, die mit Ihrer Verbindungsversuch-Zeit korrelieren. Achten Sie auf EAP-Fehlercodes (z.B. EAP-Fehler 5, 22, 25, 26, 48, 49, 204) und Fehlermeldungen, die auf Zertifikatsprobleme oder Authentifizierungsfehler hinweisen.
   • Prüfen Sie auch unter „Anwendungs- und Dienstprotokolle” > „Microsoft” > „Windows” > „RemoteAccess-Client” > „Operational”.
   • Im „System”-Protokoll können Smartcard-bezogene Fehler auftreten, die darauf hindeuten, dass der YubiKey nicht richtig kommuniziert.
   • Das „Sicherheit”-Protokoll kann Einträge zu Anmeldefehlern enthalten, die auf die RADIUS-Kommunikation hindeuten.

Schritt 4: Server-Side-Checks (wenn Sie Zugriff haben)

Wenn die Client-Seite einwandfrei zu sein scheint, liegt das Problem wahrscheinlich auf der Serverseite.

6. NPS/RADIUS-Protokolle analysieren:
   • Überprüfen Sie die Protokolle des Netzwerkrichtlinienservers (NPS) oder des RADIUS-Servers. Diese Protokolle sind entscheidend, da sie genau aufzeichnen, warum eine Authentifizierungsanforderung abgelehnt wurde. Sie finden diese in der Regel unter „Ereignisanzeige” > „Anwendungs- und Dienstprotokolle” > „Microsoft” > „Windows” > „NetworkPolicyServer” > „Operational”. Suchen Sie nach Ereignis-ID 6273 (Radius-Authentifizierungsfehler) oder 6274 (Authentifizierungs-Ablehnung durch eine Netzwerkrichtlinie).
   • Achten Sie auf die Ablehnungsgrundcodes und die Details der Netzwerkrichtlinie, die zur Ablehnung führte. Oft sind dies „Kein gültiges Zertifikat gefunden” oder „Der Antragstellername des Clientzertifikats ist nicht in einem Benutzerkonto zugeordnet”.
7. NPS/RADIUS-Richtlinien überprüfen:
   • Öffnen Sie die NPS-Konsole. Navigieren Sie zu „Richtlinien” > „Netzwerkrichtlinien”.
   • Stellen Sie sicher, dass die VPN-Authentifizierungsrichtlinie aktiviert ist und dass die Bedingungen korrekt sind. Häufige Fehler:
     • Fehlende oder falsche Bedingungen für Client-Zertifikatseigenschaften (z.B. der Antragstellername, der im Zertifikat enthalten sein muss, oder spezifische EKU-OIDs).
     • Das Stammzertifikat der Client-CA ist nicht unter „Vertrauenswürdige Stammzertifizierungsstellen” auf dem NPS-Server installiert (certmgr.msc auf dem NPS-Server).
     • Falsche Authentifizierungsmethoden (EAP-Typen). Stellen Sie sicher, dass EAP-TLS aktiviert und konfiguriert ist.
     • Das Konto des Benutzers ist nicht Teil der erforderlichen Sicherheitsgruppe, die in der NPS-Richtlinie definiert ist.
8. CRL/OCSP-Erreichbarkeit vom Server prüfen:
   • Stellen Sie sicher, dass der NPS/VPN-Server die CRL-Verteilungspunkte oder OCSP-Responder der CA erreichen kann, die die Client-Zertifikate ausgestellt hat. Wenn der Server den Widerrufsstatus nicht prüfen kann, lehnt er das Zertifikat ab. Prüfen Sie dies, indem Sie versuchen, die im Client-Zertifikat angegebenen CRL-URLs oder OCSP-URLs vom Server aus zu erreichen (z.B. mit einem Webbrowser oder certutil -url).

Best Practices und Prävention

Um zukünftige „access denied”-Fehler zu vermeiden, sollten Sie folgende Best Practices implementieren:

• Robuste PKI-Infrastruktur: Eine gut geplante und gewartete Public Key Infrastructure (PKI) ist das Fundament für eine reibungslose EAP-TLS-Authentifizierung.
• Automatisierte Zertifikatsbereitstellung: Nutzen Sie Tools und Prozesse zur automatisierten Bereitstellung und Erneuerung von Client-Zertifikaten auf YubiKeys, um manuelle Fehler zu minimieren.
• Detaillierte Protokollierung: Konfigurieren Sie sowohl den Client als auch den Server für eine detaillierte Protokollierung, um bei Problemen schnell die Ursache identifizieren zu können.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Gültigkeit aller beteiligten Zertifikate (Client, Server, CAs) und die Konfigurationen von VPN-Client und RADIUS/NPS-Server.
• Benutzerschulung: Schulen Sie Ihre Benutzer im korrekten Umgang mit dem YubiKey und dem VPN-Client, insbesondere bezüglich PIN-Verwaltung und Fehlererkennung.

Fazit

Der EAP-TLS Fatal Alert „access denied” beim Einsatz eines Windows Native VPN Clients mit YubiKey ist ein komplexes Problem, das jedoch mit einer systematischen und gründlichen Fehlerbehebung gelöst werden kann. Indem Sie die Client-Zertifikate, die Windows-Konfiguration, die Server-Konfiguration und die relevanten Ereignisprotokolle sorgfältig überprüfen, können Sie die genaue Ursache lokalisieren. Die Implementierung von Best Practices hilft Ihnen, die Sicherheit Ihrer VPN-Verbindungen zu maximieren und gleichzeitig eine hohe Benutzerfreundlichkeit zu gewährleisten. Mit der richtigen Herangehensweise wird der YubiKey zu einem unschätzbaren Werkzeug für eine sichere und zuverlässige Remote-Zugriffsstrategie.