Что это такое?

Это секрет RSA.

Зачем это нужно?

Для взаимной аутентификации сторон с помощью ключей RSA и сертификатов X.509 при создании безопасной ассоциации (SA).

Как это настроить?

При аутентификации на основе ключей RSA для каждого устройства генерируется асимметричная пара ключей RSA. Закрытый (приватный) ключ хранится на устройстве и ни при каких условиях не передаётся кому бы то ни было. Открытый ключ должен быть передан партнёру одним из двух способов:

• Аутентификация на основе только ключей RSA: открытый ключ каждой стороны переносится на противоположное устройство вручную и указывается в его конфигурации.
  Пара ключей для каждого устройства может быть сгенерирована как на самом устройстве NSG, так и сторонним удостоверяющим центром.
  На устройствах NSG в данном случае тело своего закрытого ключа хранится в параметре secret; тело открытого ключа партнёра — в параметре leftrsasigkey/rightrsasigkey конкретного соединения. Из двух последних параметров каждая сторона использует только один — чужой. Свой открытый ключ, в принципе, тоже можно указать, исключительно ради задуманной симметрии узла connections; толку от него будет — как с козла молока, но вреда, однако, тоже никакого.
• Аутентификация с использованием сертификатов X.509: одновременно с парой ключей, генерируется сертификат, который содержит в себе открытый ключ и удостоверяет, что данный ключ действительно принадлежит указанному хосту. Файл своего сертификата указываются в конфигурации туннеля. В процессе аутентификации сертификат каждой стороны передаётся партнёру по сети. Для проверки действительности сертификата каждая сторона должна иметь, как минимум, копию корневого сертификата, которым подписаны (или восходят к нему через цепочку промежуточных сертификатов) сертификаты обеих сторон. Если сертификат признан действительным, то устройство, таким образом, автоматически получает в своё распоряжение открытый ключ удалённой стороны.
  Генерация сертификатов X.509 для службы IPsec в данной версии NSG Linux не предусмотрена и может быть выполнена либо сторонним удостоверяющим центром, либо вручную с помощью утилиты openssl.
  На устройствах NSG в данном случае тело своего закрытого ключа хранится в файле file, а пароль от этого файла — в параметре secret. Свой сертификат — в параметре leftcert/rightcert конкретного соединения. Указывать чужой сертификат бессмысленно по существу, поскольку его физически не может быть на данном хосте, а в определённых ситуациях — категорически неприемлемо для данной реализации IPsec. Это явно нарушает задуманную симметрию узла connections, но такова жизнь. В параметре leftrsasigkey/rightrsasigkey противоположной стороны необходимо указать значение %cert, чтобы использовать наш открытый ключ, содержащийся в нашем сертификате. Корневой сертификат хранится в директории /etc/ipsec.d/cacerts/, и её настройка в данной версии NSG Linux 2.1 не предусмотрена.

Как можно видеть, узел secrets при использовании ключей RSA принципиально несимметричен (в отличие от общей концепции настроек IPsec в Linux) и уникален для каждого хоста. Это является следствием самой природы асимметричных ключей.

Помимо ключей и сертификата, следует составить список узлов, для которых они действительны. Подробнее см. справку по вложенным узлам.