Коллеги, есть удаленный сервис использующий КП сертификаты для SSL/TLS втч для идентификации ему отдается наш клиентский сертификат.

Все отлично работает в браузере.

При попытке обращения из .NET (Шарпей установлен, делаем консольное приложение) получаем в самом конце попытки - после отправки данных вот такие строки системного трейса

[7796] SecureChannel#25773083 - Left with 1 client certificates to choose from.
[7796] SecureChannel#25773083 - Trying to find a matching certificate in the certificate store.
"[7796] SecureChannel#25773083 - Locating the private key for the certificate: [Version]
V3
.......
[7796] SecureChannel#25773083 - Certificate is of type X509Certificate2 and contains the private key.
[7796] AcquireCredentialsHandle(package = Microsoft Unified Security Protocol Provider, intent = Outbound, scc = System.Net.SecureCredential)
[7796] InitializeSecurityContext(credential = System.Net.SafeFreeCredential_SECURITY, context = 367398:33dce0, targetName = test.rb-ei.com, inFlags = ReplayDetect, SequenceDetect, Confidentiality, AllocateMemory, InitManualCredValidation)
[7796] InitializeSecurityContext(In-Buffers count=2, Out-Buffer length=0, returned code=-2146893008).
[16780] Socket#32347029::Dispose()
[16780] Exception in the HttpWebRequest#55909147:: - The request was aborted: Could not create SSL/TLS secure channel.
[16780] Exception in the HttpWebRequest#55909147::EndGetResponse - The request was aborted: Could not create SSL/TLS secure channel.


и собно все - уже и сертификат указываем прямо из хранилища и напрямую добавляеим в ClientSertificates запроса

Подскажите что тут можно посмотреть чтобы с проблемой разобраться

Версия ядра СКЗИ 3.6.5359 KC1
Версия продукта 3.6.6964
Эта версия не соответствует R3 ? (на данный момент сложно провести на клиентском сервере соответствие а переставить еще проблематичней)

Возможна причина что лицензия истекла по времени и теперь происходят такие ошибки ?

С примером сложно - сертификат частный выдать не можем, но сам по себе пример - простой post запрос с блоком url-encoded переменных (один к одному - то что в документации MS).

Возможно ли как-то включить режим хотя бы минимальной отладки на стороне крипто-провайдера, посмотреть что собственно за проблема чтобы не просто Could not create SSL/TLS secure channel?

Сообщают об ошибке CryptoPro TLS. Error 0x80090019 calling CSP: The keyset is not defined.

Локальный пользователь , группы администратора и администратора домена уже стоят.