Добрый день!

Переносим .NET-приложение с Windows на Linux (Docker). На Windows всё работает - ГОСТ TLS через Kestrel + CryptoPro CSP + серверная лицензии CSP 5.0

Для Linux решили использовать cpnginx как reverse proxy для терминации входящего ГОСТ TLS.

Окружение:
- Docker-образ: debian:bookworm-slim
- CryptoPro CSP 5.0.13003
- Лицензия: серверная, бессрочная (тип Server)
- Сертификат: ГОСТ Р 34.10-2012 256 бит

Что сделано:
1. Сертификат PFX импортирован в store mMy
2. CA-сертификат НСПК установлен в mRoot
3. csptest -absorb -certs -autoprov
4. certmgr -list -store mMy — сертификат виден, PrivateKey Link: Yes, Container: HDIMAGE\ELEXIRrT.000\4039

Конфиг cpnginx (минимальный):
server {
listen 443 sspi;
sspi_certificate 0x5BFF8B00F5B396914FFED57E57B85E31;
location / { return 200 "OK"; }
}

cpnginx -t — syntax is ok, test is successful.

Ошибка при подключении:
[emerg] AcquireCredentialsHandle failed: 0x80090307

Дополнительная диагностика:
Та же ошибка воспроизводится через csptest напрямую (без cpnginx):
# csptest -tlss -User 0fe46265cb2e0ab71b7793bf07c5855d187ce120 -port 4443 -verbose
**** Error 0xffffffff80090307 returned by AcquireCredentialsHandle

Сертификат находится, ключ доступен, но SSPI TLS-сервер не поднимается. Пробовали от root и от cpnginx — результат одинаковый.

Вопросы:
1. Достаточно ли серверной лицензии CSP 5.0 для работы cpnginx (SSPI TLS) на Linux, или требуется отдельная лицензия «для TLS-сервера»?
2. Если лицензия достаточна — что может быть причиной ошибки 0x80090307 при наличии сертификата с PrivateKey Link: Yes?
3. Есть ли возможность получить пробную TLS-лицензию для тестирования?(на сайте нашел только виндовую)

Спасибо