Сертификаты для двухфакторной аутентификации на сайте с USB-токеном

GlobalSign. Впрочем, меня устроит любой сертификат (кроме самоподписанного), с которым браузер будет отображать без ворнингов.

1. Параметры создания запроса были немного изменены:

# пересоздаем ключи с --key-type GOSTR3410-2012-256:B
pkcs11-tool --module=/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so --login --pin 123456 --keypairgen  --key-type GOSTR3410-2012-256:B

# сформирован запрос в виде PEM
openssl req -utf8 -new -keyform engine -key "pkcs11:model=Rutoken%20ECP" -engine rtengine -out req.pem

Полученный запрос отправлен по Вашей ссылке.

2. В ответ был выдан сертификат. Он был скачан в формате DER-шифрование (а не Base64) в виде файлов:

certnew.cer
certnew.p7b

Беглый просмотр сертификата в XCA показал, что он "Valid" и выдан на 3 месяца.

3. Итоговое состояние следующее:

а.) Имеются 2 выданных файла.

б.) Имеется правильно работающий NGINX, настроенный корректно для работы со стандартными SSL-сертификатами (типа Comodo, GlobalSign, etc.). Сервер пока что настроен безо всякой проверки клиентских сертификатов (отсутствует директива ssl_verify_client on;) и без поддержки ГОСТ (все настройки, которые были предложены в статье, были протестированы и затем удалены).

Вопрос 1: прошу указать на документацию, по которой двигаться дальше имея а.) и б.).

Вопрос 2: допустим пользователь имеет компьютер с актуальными Windows и Firefox и стандартными правами пользователя (т.е. он не Администратор). Он получил Рутокен PKI с ключем. В Firefox он сделал единственную настройку: в разделе "Security Devices" он прописал путь библиотеке, добавив тем самым  новый модуль PKCS#11 Rutoken ECP. Можно ли получить подписанный сертификат и настроить nginx таким образом, чтобы пользователь был избавлен от необходимости делать какие-то другие настройки?

Спасибо.