Скажите пожалуйста, возможно ли вообще пользоваться файловыми хранилищами сертификатов при использовании simplified CryptoAPI функций?

Дело в том, что одним из участников системы у меня является неинтерактивное приложение (системный сервис 24x7)
В силу ряда причин хочется, чтобы он использовал файловое хранилище сертификатов.
Но когда я помещаю сертификаты в файловое хранилище и связываю личный сертификат сервиса с его ключевым контейнером,
то симплифаед функции не могут найти контейнер по сертификату. В лучшем случае появляется диалоговое окно крипто с предложением вставить контейнер и имя контейнера из вопросительных знаков.
При переходе на системное хранилище "MY" все работает замечательно.

Или подскажите какое хранилище лучше использовать для неинтерактивных приложений.
(проблема в том, что к нему должен иметь доступ администратор, и не обязательно с хоста на котором работает сервис. Плюс еще сам сервис может работать как из под local system account, так и из под специальной учетки)

файловое хранилище у меня создается вот так

hStore := CertOpenStore(CERT_STORE_PROV_FILENAME,
PKCS_7_ASN_ENCODING or X509_ASN_ENCODING,
0,
CERT_STORE_CREATE_NEW_FLAG or CERT_FILE_STORE_COMMIT_ENABLE_FLAG,
wFileName //имя файла в юникоде
);

Я в него добавляю CA сертификаты сервиса. При просмотре его через CryptUIDlgSelectCertificateFromStore
и открытии сертификатов Виндоус говорит, что есть приватный ключ для сертификатов.

Но при вызовах симплифаед функций (например при CryptDecryptMessage) получаю ошибку что не найден приватный ключ.

контейнеры в реестре.
что самое странное - если ничего в коде не менять, а только перейти на MY, то все работает.

в реестре текущего юзера (отлаживаю конечно в гуи-приложении, а не в сервисе)
сертификаты добавляются в хранилище одним и тем же кодом (в функцию передается готовый HCERTSTORE)
с контейнером связываются тоже одним и тем же кодом.

...
if AInstalledCert <> nil then
begin
//Связываем с приватным ключом
AContainerName := PChar(ACustomData);
ZeroMemory(@KeyInfo,SizeOf(CRYPT_KEY_PROV_INFO));
KeyInfo.pwszContainerName := PWideChar(AContainerName);
KeyInfo.pwszProvName := PWideChar(CP_GR3410_2001_PROV_W);
KeyInfo.dwProvType := PROV_GOST_2001_DH;
KeyInfo.dwKeySpec := sc_GetCertPubKeytype(AInstalledCert); //AT_KEYEXCHANGE;
if not CertSetCertificateContextProperty(AInstalledCert,CERT_KEY_PROV_INFO_PROP_ID,0,@KeyInfo) then RaiseLastWin32Error;
....

да, внутри файлового хранилища четко видно (FAR + F3) имя провайдера и имя контейнера вида \ \c o n t a i n e r