Что это такое?

Это путь/имя файла закрытого ключа RSA.

Зачем это нужно?

Для взаимной аутентификации сторон с помощью ключей RSA и сертификатов X.509.

Как это настроить?

Указать путь и имя файла, содержащего закрытый ключ RSA. Ключ может быть записан в формате PEM или DER (при этом суффикс имени файла не имеет значения, анализируется содержимое файла по существу). Если файл защищён паролем. то пароль следует ввести в поле secret.

Если указывается относительный путь, то он отсчитывается от директории /etc/ipsec.d/private/. Если ключи хранятся в ином месте, то необходимо указать абсолютный путь, например, /var/mounts/usb1/myPoopyKey.pem.

Чтобы использовать только ключи RSA без сертификатов, необходимо оставить данный параметр пустым, а тело ключа вставить в параметр secret.

ВНИМАНИЕ! Закрытый ключ во всех случаях хранится только на устройстве, которому он принадлежит, и не должен передаваться никаким партнёрам ни при каких обстоятельствах. Если ключи и сертификаты генерируются сторонним удостоверяющим центром, то перенос их на устройство необходимо выполнять только безопасными способами.

ВНИМАНИЕ! Файл приватного ключа должен быть доступен только для владельца, т.е. пользователя root. После генерации или переноса ключа необходимо удостовериться в этом и при необходимости выставить права должным образом:

# cd /etc/ipsec.d/private
# ls -l
-rw-r--r-- 1 root root 5 янв 14 19:04 myPoopyPrivateKey.pem    <-- неправильно
# chmod 600 myPoopyPrivateKey.pem
# ls -l
-rw------- 1 root root 5 янв 14 19:04 myPoopyPrivateKey.pem    <-- правильно

В противном случае работа IPsec аварийно завершается.