1. в конфиг установил extendedKeyUsage=emailProtection,clientAuth,serverAuth
2. клиенту добавил -CAfile ./demoCA/cacert.pem

клиент выдал успех - Verify return code: 0 (ok)

<console #1>
$ cd
$ unzip ~/downloads/rutoken-sdk-latest.zip
$ cd ~/sdk/openssl/samples/tool
$ cp ~/sdk/openssl/bin/1.1/openssl-tool-1.1/linux_glibc-x86_64/* .
$ cp ~/sdk/openssl/bin/1.1/rtengine-1.1/linux_glibc-x86_64/lib/* .
$ cp ~/sdk/pkcs11/lib/linux_glibc-x86_64/* .
$ sed -i 's/\/path\/to/\./g' ./openssl.cnf
$ sed -i 's/;serial=2adc8d87//g' ./openssl.cnf 
$ pkcs11-tool --module ./librtpkcs11ecp.so --login --pin 12345678 --keypairgen  --key-type GOSTR3410-2012-256:B --id 3132 --usage-derive
$ openssl req -utf8 -new -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=12" -engine rtengine -out req_srv.csr
$ openssl ca -batch -in req_srv.csr -out serv.cer
$ pkcs11-tool --module ./librtpkcs11ecp.so --login --pin 12345678 --keypairgen  --key-type GOSTR3410-2012-256:B --id 3233 --usage-derive
$ openssl req -utf8 -new -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=23" -engine rtengine -out req_cli.csr
$ openssl ca -batch -in req_cli.csr -out client.cer
$ openssl s_server -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=12" -engine rtengine -cert serv.cer -Verify 7 -CAfile ./demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

<console #2>
$ cd ~/sdk/openssl/samples/tool
$ export OPENSSL_CONF=./openssl.cnf
$ openssl s_client -host 127.0.0.1 -port 44330 -cert client.cer -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=23" -engine rtengine

Соединение клиента и сервера устанавливается, держится, но есть ошибка типа "Verify return code: 26 (unsupported certificate purpose)"
Прошу пояснить все ли верно делаю ?

Сгенерировать ключевую пару клиента:
pkcs11-tool --module ./librtpkcs11ecp.so --login --pin 12345678 --keypairgen  --key-type GOSTR3410-2012-256:B --id 3233 --usage-derive
Создать запрос на сертификат клиента:
openssl req -utf8 -new -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=23" -engine rtengine -out req_cli.csr
Создать сертификат клиента:
openssl ca -batch -in req_cli.csr -out client.cer
Запустить сервер:
openssl s_server -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=12" -engine rtengine -cert serv.cer -Verify 7 -CAfile ./demoCA/cacert.pem -accept 44330 -WWW -purpose any -4

Открыть еще одну консоль в папке sdk\openssl\samples\tool\
Выполнить экспорт конфигурации openssl:
export OPENSSL_CONF=./openssl.cnf
Запустить клиент:
openssl s_client -host 127.0.0.1 -port 44330 -cert client.cer -keyform engine -key "pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP;id=23" -engine rtengine

1. На ключе сделал ключ типа "ГОСТ Р 34.10-2012 256"
2. Сделал запрос
3. Используя демо базу из SDK "demoCA" выпустил сертификат его и внес обратно на ключ
4. Запускаю сервер с параметром ./demoCA/newcerts/01.pem
5. Запускаю клиент - ругается разным, из последнего == Verify return code: 21 (unable to verify the first certificate)

Поясните порядок работ чтобы из примера "Сервер, ключ на токена" и "Клиент, ключ на токене" заработал.
Можно начать с чистого токена.
ОС ubuntu 20.04