Настройка stunnel из состава КриптоПро CSP версии 5.0.11455 и выше для взаимодействия с TSP-службами ЦБ РФ.
Пример описан для ОС Windows 10.

Перед началом убедитесь, что лицензия на право использования КриптоПро CSP у Вас действующая.
Stunnel устанавливать необходимо в соответствии с используемой версией КриптоПро CSP: https://www.cryptopro.ru/products/csp/downloads 

1. Установить сертификат из контейнера в хранилище "Личное" текущего пользователя с привязкой к закрытому ключу: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/259#1


2. Запустить приложение Инструменты КриптоПро, перейти в раздел "Сертификаты" - "Личное". 
Выбрать сертификат, внизу нажать Экспортировать сертификаты. Тип файла измените на "Сертификат Х.509 в DER (*.cer)", имя (для примера) user.cer
Экспортируйте сертификат в папку C:\Stunnel (если другой путь, укажите в файле C:\Windows\system32\stunnel.conf , параметр cert=, см. п. 4)

3. Запустить текстовый редактор (например, Блокнот или Notepad++) от имени Администратора, открыть в нём файл C:\Windows\system32\drivers\etc\hosts
Прописать в одну строку:

127.0.0.1 localhost tsp1.ca.cbr.ru tsp2.ca.cbr.ru

Сохранить.

4. Создать файл stunnel.conf с таким содержимым и переместить его в C:\Windows\system32 :

verify = 0
output = C:\Stunnel\stunnel_cli.log
service = Stunnel
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
accept = 127.0.0.1:10001
connect = tsp3.ca.cbr.ru:443
cert = C:\Stunnel\user.cer
[tls1-client-https-2]
client = yes
accept = 127.0.0.1:10002
connect = tsp4.ca.cbr.ru:443
cert = C:\Stunnel\user.cer



5. Запустить Службы Windows ( services.msc ) от имени Администратора. 

Найти "Stunnel Service" в списке служб, двойным кликом открыть свойства, далее перейти на вкладку "Вход в систему", выбрать "С учётной записью", нажать Обзор... 
Выбрать логин учётной записи, для которой устанавлен сертификат в п.1
Подтвердить, ввести пароль (пустой может не принимать!), применить настройки.

6. Открыть хранилище "Сертификаты (локального компьютера)" - "Промежуточные центры сертификации" - "Реестр" - "Сертификаты", найти сертификат ЦБ РФ.
ПКМ - "Свойства", перейти на вкладку "Протокол OCSP", добавить URL:

http://tsp1.ca.cbr.ru:10001/ocsp 
http://tsp2.ca.cbr.ru:10002/ocsp


Применить.

7*. (необязательно, если выполнен п. 6)
В gpedit.msc по пути:
Конфигурация компьютера -> Административные шаблоны -> Классические административные шаблоны (ADM) -> КРИПТО-ПРО -> КриптоПро OCSP Client -> "Службы OCSP: адрес службы OCSP по умолчанию"
включить политику, прописать один из двух адресов:

http://tsp1.ca.cbr.ru:10001/ocsp 
http://tsp2.ca.cbr.ru:10002/ocsp

Далее применить политику (cmd от имени Администратора):

gpupdate /force

Убедиться, что политики успешно обновлены.

8*. Если прокси НЕ используете, то пропустить этот шаг и перейти к п. 9 
Если в Вашей сети используется прокси-сервер и Вы указали настройки прокси в Свойствах обозревателя ( inetcpl.cpl ), то следует добавить служебные адреса ЦБ в исключения.
В inetcpl.cpl - Подключения - Настройки сети - внизу "Дополнительно" - прописать в исключения все адреса через точку с запятой:

tsp1.ca.cbr.ru;tsp2.ca.cbr.ru;tsp3.ca.cbr.ru;tsp4.ca.cbr.ru

Применить.

9. Запустить службу Stunnel Service (если запущена, то перезапустить).

10. Проверить, что тестовая подпись типа CAdES-X Long Type 1 создаётся успешно в нашем плагине: https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_xlong_sample.html
Указывать TSP-cлужбу одну из двух:

http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf 
http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf