а нужна пара RSA ключей, которые в linux создавались следующим образом:

$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --keypairgen --key-type "rsa:2048" -l --id 45 --slot-description "Aktiv Rutoken ECP 00 00"

И это прекрасно работает в linux-системах, где и создавалась ключевая пара с использованием библиотеки librtpkcs11ecp.so

Теперь я пытаюсь выполнять аналогичные вещи в windows-системе.
Для аутентификации на ssh-сервере, например, понадобилось установить фреймворк opensc (см. https://github.com/OpenSC/OpenSC/releases)
И она работает, если использовать с ssh-клиентом аналогичную библиотеку от Aktiv:

C:\Users\ovcharov>ssh -I "C:\Program Files\OpenSC Project\OpenSC\pkcs11\rtPKCS11ECP.dll" ovcharov@192.168.195.23
Enter PIN for 'Rutoken ECP <no label>':
Last login: Thu May 26 12:33:13 2022 from 192.168.224.44
ovcharov@rhel8 ~$

А вот в случае браузера и веб-сервера система желает задействовать сертификат, который находится в разделе Personal виндового хранилища сертификатов (см.картинку выше).
Но как я уже говорил, объяснить системе, что соответствующий сертификату приватный ключ надо искать на ruToken'е, не получается.

Что можно сделать? Хотел попробовать сгенерировать ещё одну ключевую пару в Windows и сертифицировать публичный ключ на том же ЦС. Но почему-то кнопочка "Generate certificate" (та что левее "Import") неактивна -- это видно на моей первой картинке

У меня есть проблема с регистрацией сертификата на ruToken в Windows 10
Вот на картинке видно, что токен содержит сертификат юзеру ovcharov с неизвлекаемым приватным ключом.
Там же видно, что сервис Certificate Propagation запущен и работает.

но в оснастке сертификатов (текущий юзер, личные сертификаты) он не появляется:

Я пробовал экспортировать сертификат с токена в base64 формате и вручную добавлять его в юзерские личные. Это получилось, но тут видно, что этому сертификату не соответствует никакого приватного ключа (нет значка-ключика слева):

Вопрос -- как привязать к сертификату из виндового юзерского хранилища приватный ключ, хранящийся на токене?
Сразу уточню, что никаких отечественных криптопровайдеров у меня не установлено -- ключ ведь RSA, так что они не нужны.

Отключил рутокен и заново его подключил. Возможность подписания документв в СЭД появилась. После отключения рутокена и попытке подписать документ ошибка "Набор ключей не существует", меня это устраивает. Но смущает то, что в локальное хранилище все также автоматически попадает сертификат.

Тот факт, что сертификат попадает в локальное хранилище, не означает, что закрытый ключ лежит в локальном хранилище. Сертификат - информация не секретная и без закрытого ключа подписать на нем ничего нельзя. Там всего лишь есть ссылка на контейнер, где его искать. В данном случае - на токене.

Еще сразу второй вопрос, что нужно для генерации ключей на самом токене(Рутокен ЭЦП)? Какое ПО?

Каким образом планируется использовать эти сгенерированные ключи в дальнейшем? От этого зависит ответ на ваш вопрос.

Если вы планируете генерировать RSA ключи и использовать MS CA, кроме установленного комплекта драйверов Рутокен, ничего не потребуется. При генерации запросов на сертификат нужно указать, что будет использоваться Aktiv Rutoken CSP v1.0 и ключи будут генерироваться именно этим CSP.