Двусторонняя аутентификация на TLS-сервере (ГОСТ). Цепочка доверия.

Пытаюсь настроить двустороннюю аутентификацию на TLS-сервере с Российскими ГОСТ-алгоритмами шифрования, на базе Рутокен ЭЦП 3.0 + Рутокен Коннект (без КриптоПро CSP на клиенте, используя только аппаратное шифрование Рутокен ЭЦП).

1) Настроил TLS-сервер на базе Debian 12 + КриптоПро CSP 5 TLS (т.н. CPNGINX) по инструкции: https://support.cryptopro.ru/index.php? … -packages.

2) Сертификаты для TLS-сервера и для клиента запросил на тестовом сервере КриптоПро: http://testgost2012.cryptopro.ru/certsrv/

3) С помощью КриптоПро-шных утилит поместил клиентский сертификат на Рутокен ЭЦП 3.0

4) При наличии КриптоПро CSP на клиенте Debian 12 (то же и на OpenSuse 15.6), успешно подключаюсь с помощью ЯндексБраузера или ChromiumGOST. При этом клиентский сертификат запрашивается браузером с токена. Корневой сертификат УЦ располагается в хранилище КриптоПро. Двусторонний TLS работает.

5) Убрал КриптоПро CSP на клиенте и установил Рутокен Коннект, Рутокен Плагин, Адаптер Рутокен Коннект, Адаптер Рутокен Плагин по инструкции:
https://dev.rutoken.ru/pages/viewpage.a … d=86049009

6) При подключении (Firefox) Адаптор Рутокен Коннект сообщает: "Не удалось построить цепочку до сертификата сервера, проверьте, что корневые сертификаты установлены."

7) Помещал корневой сертификат тестового УЦ в системное хранилище ОС, и на Рутокен тоже помещал - результат тот же - нет доверия.

Внимание вопрос: Куда и в каком виде необходимо поместить корневые сертификаты УЦ чтобы Коннект их увидел? В системное хранилище? На токен? В браузер?