Что это такое?

Это файл с закрытым (приватным) ключом данного устройства.

Зачем это нужно?

Для взаимной аутентификации сторон при установлении туннеля.

Как это настроить?

Указать путь и имя файла, содержащего закрытый ключ данного устройства для данного туннеля OpenVPN. Подлинность данного ключа гарантируется сертификатом; парный к нему открытый (публичный) ключ содержится в теле сертификата.

Ключ должен быть записан в формате PEM по существу; расширение имени файла никакой роли не играет.

ВНИМАНИЕ! Закрытый ключ во всех случаях хранится только на устройстве, которому он принадлежит, и не должен передаваться никаким партнёрам ни при каких обстоятельствах. Если ключи и сертификаты генерируются сторонним удостоверяющим центром, то перенос их на устройство необходимо выполнять только безопасными способами.

ВНИМАНИЕ! Файл приватного ключа должен быть доступен только для владельца, т.е. пользователя root. После генерации или переноса ключа необходимо удостовериться в этом и при необходимости выставить права должным образом:

# cd /etc/openvpn/ovpn1/
# ls -l
-rw-r--r-- 1 root root 5 янв 14 19:04 myPoopyPrivateKey.pem    <-- неправильно
# chmod 600 myPoopyPrivateKey.pem
# ls -l
-rw------- 1 root root 5 янв 14 19:04 myPoopyPrivateKey.pem    <-- правильно

В противном случае работа OpenVPN аварийно завершается.

ПРИМЕЧАНИЕ. Сертификаты, ключи и другие вспомогательные объекты для OpenVPN можно хранить не только в отдельных файлах, но и непосредственно в теле единого файла конфигурации. В частности, это позволяет управлять ими через пользовательские интерфейсы NSG (Web или CLI), не входя на устройство с правами root.