Так с этого я и начинал - на компы локально зайти через смарт-карту могу, а удаленно соединиться с сервером шлюза - нет ("... адрес сервера rds... недостижим или неправильный"), хотя на него же локально - все ок.

Пока нет.
Ситуация такая: на вкладке Дополнительно клиента rdp указываю fqdn адрес шлюза RD. При попытке коннекта появляется окно авторизации. В нем две половины: верхняя - по логину-паролю и нижняя - по смарт-карте. Если использовать логин-пароль - все ОК, если смарт-карту - ошибка.
Если по аглицки - то ошибка такая: "your computer can't connect to the remote computer because the remote desktop gateway server address is unreachable or incorrect. type a valid remote desktop gateway server address".
Мне кажется, что сертификат ГОСТ тут ни при чем. Или я ошибаюсь?
Думаю, что собака зарыта где-то в районе IIS, а где - не знаю. Где можно увидеть подробные логи того, что происходит?

Сертификат создал. В Диспетчере шлюза RD - Свойства - закладка Сертификат SSL - выбрать существующий - выбрал.
В Диспетчере серверов - службы RD - настройка развертывания - сертификаты - для всех ролей указал этот сертификат. Показывает уровень - "доверенный", состояние - "ОК".
На всякий случай в оснастке IIS перезапустил Default WebSite.

А пытаюсь удаленно подключиться - пишет "не защищено" и в свойствах - сертификат старый. Где-то что-то рестартануть/ребутнуть надо?

Поменялось многое, вернулся к такому вот состоянию:
SRD - это сервер шлюза и веб доступа и т.д. SL - это просто сервер в лок. сети. ЛОКАЛЬНО - могу зайти по смарт-карте и на SRD, и на SL, и на SL с сервера SRD, если я уже зашел на него через rdp (локально).
Если же подключаюсь удаленно - то если заходить по логину-паролю, то попадаю на SL через SRD. Если же, зайдя на SRD (по логину-паролю) в окне авторизации на SL выбрать смарт-карту - то стала выскакивать ошибка "неверная функция криптосистемы или проверки контрольной суммы. Запрошенная функция недоступна" Это что еще такое?

Я бы рекомендовал установить последнюю версию CSP5R2