По шагам:

1. Подсоединить Рутокен Lite к нужному ПК

2. Запустить "КриптоПро CSP"

3. Перейти на вкладку "Сервис"

4. Нажать "Установить личный "

5. Нажать "Обзор" и выбрать PFX-файл

6. Нажать "Далее >"

7. Ввести пароль и нажать "Далее >"

8. Нажать "Готово"

9. В появившемся окне выбора ключевого контейнера указать Рутокен Lite

10. Вести PIN-код от рутокена

Дальше, если все нормально, то контейнер с ключевой парой и сертификат запишутся на рутокен.

А откуда был экспортирован этот сертификат?

Так как я по техническим возможностям не мог получить сертификат средствами браузера сразу на носитель - сертификат был сгенерирован на виртуальной машине средставми CryptoPRO CSP с использованием веб-плагинов поставщика услуг -  видимо, в криптоконтейнер своего криптопровайдера(CryptoPRO CSP) и добавлен в хранилище OS Windows 10.(скорее всего ошибаюсь в терминологии и технологиях работы с ОС Windows).
Далее, был экспортирован из утилиты

в файл pfx (стандартная "оснастка" ОС Windows для работы с сертификатами).

Соответственно, контейнер(родительский) - на виртуальной машине, мой сертификат с экспортируемым приватным ключом - на хосте в формате pfx.

CryptoPRO CSP. Хотя я бы и с ViPNet с удовольствием поработал (хотя мой поставщик услуг говорит о том, что RuToken и CryptoPRO CSP с ViPNet давно не работает, и сам поставщик - тоже).

При покупке КЭП(квалифицированная электронная подпись) я поинтересовался у менеджера, как будет генерироваться и храниться сертификат - результатом было следующее: на носителе RuToken Lite генерируются закрытый ключ и, на его основе - открытый, затем формируется CSR-запрос к CA(не уточнил, как именно), после чего выдается сертификат. Договор - подписан, деньги - заплачены, заветный RuToken Lite в кармане.

Однако продавец посредством техподдержки такую информацию не подтвердил(уже после регистрации документов и получения мной чистого носителя RuToken Lite) и выдал сертификат в хранилище Windows(т.к. носитель не мог быть подключен к устройству, на котором происходило получение сертификата, и использовалась виртуальная машина - кроме хранилища вариантов не было) с использованием браузера Google Chrome средствами своих плагинов и стандартных(видимо) технологий CryptoPRO CSP.

После этого, со слов техподдержки, я мог перенести сертификат на хост и записать его на носитель RuToken. Что я сейчас сделать не могу.

А откуда был экспортирован этот сертификат?
Контейнер с закрытым + открытым ключом для него где находится?
Через какой криптопровайдер нужно работать в итоге (например, "КриптоПро CSP", "ViPNet CSP" или еще какой-то)?

Подскажите, как быть?
Т. е. ECDSA не принимает и хочет RSA, если я правильно понял.