Если у вас модель токена "Рутокен ЭЦП", то воспользуйтесь нашими инструкциями по конфигурированию OpenSSL и сценарию его применения.

Генерирую закрытый ключ:
pkcs15-init -G GOST2001 --auth-id 02 --id 42

Ключ создался:
pkcs15-tool -k
Using reader with a card: Aktiv Rutoken ECP 00 00
Private GOSTR3410 Key [Private Key]
    Object Flags   : [0x3], private, modifiable
    Usage          : [0x4], sign
    Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
    ModLength      : 256
    Key ref        : 1 (0x1)
    Native         : yes
    Path           : 3f001000100060020001
    Auth ID        : 02
    ID             : 42
    MD:guid        : {14ebc785-effa-0310-5e0a-7f6a679bb8e6}
      :cmap flags  : 0x0
      :sign        : 0
      :key-exchange: 0

Но, когда пытаюсь создать сертификат, то OpenSSl не находит ключ:
req -engine pkcs11 -new -key id_42 -keyform engine -x509 -out cert.pem -text

Возвращается ошибка:
engine "pkcs11" set.
No private keys found.
PKCS11_get_private_key returned NULL
cannot load Private Key from engine
139891863049880:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:eng_pkey.c:124:
unable to load Private Key
error in req

Пробывал (req -engine pkcs11 -new -key 1:42 -keyform engine -x509 -out cert.pem -text), тот же самый эффект.
В чем может быть проблема?