Взял свежий токен из прибывшей партии, создал ключевую пару на токене.

pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --pin 12345678 --keypairgen --key-type rsa:2048 --id 33 --label test3

Using slot 0 with a present token (0x0)
Key pair generated:
Private Key Object; RSA 
  label:      test3
  ID:         33
  Usage:      decrypt, sign
  Access:     sensitive, always sensitive, never extractable, local
Public Key Object; RSA 2048 bits
  label:      test3
  ID:         33
  Usage:      encrypt, verify
  Access:     local

Видно объекты с id=33
Видно сообщение, что приватный ключ не извлекаемый.
В случае с самостоятельной генерацией ключей "never extractable" не появлялось, хоть приложение рутокен для windows (если вставить токен в пк с windows) всё равно сообщало, что ключ неизвлекаемый.

Теперь пытаюсь получить запрос на сертификат с токена, безуспешно:
Пробую по инструкции https://dev.rutoken.ru/pages/viewpage.a … =113279016
Ошибка.
OPENSSL_CONF=/home/arashi/rutoken/engine.conf openssl req -new -engine pkcs11 -key 0:33 -keyform engine -passin pass:12345678 -out client.pem -config user_cert.inf

Engine "pkcs11" set.
Workaround for OpenSSL 3.0.13 30 Jan 2024 enabled
PKCS#11: Initializing the engine: /usr/lib/librtpkcs11ecp.so
Found 15 slots
Looking in slot 0 for private key without login: id=33
- [0] Aktiv Rutoken ECP 00 00    login                                 (Rutoken ECP <no label>)
Segmentation fault (core dumped)