Как настроить Stunnel (win) так, что бы был неизвлекаемый сертификат на токене ( ru-token/e-token)?

Question

[arturos]

Как настроить Stunnel (windows) так, что бы был неизвлекаемый сертификат на токене ( ru-token/e-token) ?
Очень нужна помощь с пошаговыми проверенными действиями (в том числе как сделать сертификат самоподписаный и то, как записать сертификат в рутокен/етокен).
На хабре, в том числе, есть схожие статьи про настройку stunnel, но на практике статья старая и повторяя действия описанные в статье - не удалось запустить все в работу так как надо. Много других статей находил на просторах сети - тоже не вышло.
Задача сделать защищённый тунель, что бы пользователю выдать ru-token (и т.п. варианты), и портативную версию stunnel - но при этом что бы никто не завладел сертификатом для подключения (только тот у кого есть физический токен, что бы мог подключиться к серверу).

И ещё вопрос по stunnel:
Кроме токена, хотелось бы и заставить пароль/логин запрашивался.