Защита программного обеспечения

[Tiny]

1. Генерирую пару ключей
pkcs11-tool --module senselock_token.dll --keypairgen --key-type rsa:1024 --login --label "user@domain.ru" --id 0001
2. openssl сконфигурирован с подгрузкой модуля senselock_token.dll. Пытаюсь создать запрос на сертификат:
openssl req -engine pkcs11 -keyform engine -key 0001 -new -text -out newcert.csr -config openssl.cnf -subj "/C=RU/ST=Saint-Petersburg/L=Saint-Petersburg/O=Org/OU=IT/CN=Ivanov/emailAddress=user@domain.ru"

Вылетает с ошибками. Ставлю senselock_token_debug.dll
В логе следующее:

PKCS#11 : C_FindObjectsFinal
5/11/2009 11:48:45 32 PKCS#11 : C_GetAttributeValue [Handle=02]
CKA_SENSITIVE[01]=01
5/11/2009 11:48:45 78 PKCS#11 : C_GetAttributeValue returned 0

5/11/2009 11:48:45 0 PKCS#11 : C_GetAttributeValue [Handle=02]
CKA_EXTRACTABLE[01]=00
5/11/2009 11:48:45 31 PKCS#11 : C_GetAttributeValue returned 0

5/11/2009 11:48:45 0 PKCS#11 : C_GetAttributeValue [Handle=02]
CKA_MODULUS_BITS[20C]=0000...0000
5/11/2009 11:48:45 172 PKCS#11 : C_GetAttributeValue returned 0

5/11/2009 11:48:45 0 PKCS#11 : C_GetAttributeValue [Handle=02]
CKA_PUBLIC_EXPONENT[20C]=0000...0000
5/11/2009 11:48:45 172 PKCS#11 : C_GetAttributeValue returned 0

PKCS#11 : C_Finalize

Я правильно понимаю, что приватный ключ пытается извлекаться для подписания запроса на сертификат?
Если извлечение ключа невозможно, то каким образом можно провести подобные операции?