我们正在尝试使用生成并存储在HSM中的私钥建立mTLS连接。我们正在使用Google KMS进行HSM部分。我们的应用程序是一个Nodejs应用程序，它使用axios来发出请求，我们配置底层openssl / pkcs#11接口如下：

这在我们的开发设置中运行良好，我们有一个使用2048位RSA密钥的LetsEncrypt证书，使用RSA-PSS作为签名算法。我们将从certbot获得的密钥导入HSM，选择rsa-sign-pss-2048-sha256作为其签名算法，并使用ASYMMETRIC_SIGNING作为密钥用途。但是现在在生产中，我们需要使用来自特定CA的证书（不要问）。我们直接在HSM中生成了一个prod密钥（因此我们无法提取私钥），使用OpenSSL为CA生成CSR，但注意到他们不接受使用RSA-PSS的CSR。我们不得不将签名算法降级到PKCS v1.5，以便CA接受CSR。CA接受了CSR，签署了证书，我们将所有设置与我们的开发设置完全相同：但是，我们现在在尝试建立连接时会得到以下错误：

此外，KMS integration by Google还记录以下内容：

现在，我不是一个真正的密码学Maven，但我的理解是：

我们使用的是Node v16，Debian 11.6 with OpenSSL 1.1.1n。我尝试过升级PKCS#11 engine to the latest version as well，但没有效果。是否需要设置任何标志或配置，以便Node/OpenSSL知道要使用哪种机制？OpenSSL报告该引擎支持RSA_PKCS。