Коллеги. Есть успех! Не без проблем конечно, но в целом схему проверил, все работает.
Отдельно хочется поблагодарить сотрудников Центринформ за то, что работу с МЧД продумали и сделали нормально (удобно для пользователя).
Что имеем на начало:
1. Дистрибутив тестового УТМ 4.2.0_2548 [ ➜ ]
2. Ключ на физ.лицо под криптопровайдер Рутокен ЭЦП2.0
3. Подписанную боевую МЧД формата 002, подписанную ключом организации и зарегистрированную в реестре доверенностей.
С ней (МЧД) поимели главную проблему, пришлось немного повозиться.

Наше ПО генерирует полномочия только текстом и в этом виде в МЧД оно пишется так:
<СвПолн>
<ТекстПолн>Подписание документов, направляемых в Росалкогольрегулирование</ТекстПолн>
</СвПолн>

Но такой формат УТМ не принимает, ему нужно что бы полномочие было записано так:
<СвПолн>
<КодПолн>20</КодПолн>
<СодержПолн>Подписание документов, направляемых в Росалкогольрегулирование</СодержПолн>
</СвПолн>

По формату МЧД 003 пока не пробовали работать, там полномочия должны заводиться так:
<СвПолн ТипПолн="1" ПрСовмПолн="1">
<МашПолн КодПолн="RAR_00000001" НаимПолн="Подписывать документы, направляемые в Росалкогольрегулирование"/>
</СвПолн>

После переделывания МЧД под нужный формат, УТМ ее принял. Итоговый бизнес-процесс действительно выглядит так, как описано в презентации [ ➜ ] :
1. Устанавливаем Панель управления Рутокен (ту, которая "для ЕГАИС", последнюю версию, другие не проверял)
2. Вставляем смарт-карту
3. Запускаем дистрибутив тестового УТМ, устанавливаем УТМ
4. Запускаем УТМ, переходим на домашнюю страницу - на ней сверху показан ИНН физ.лица и его ФИО, а в меню при этом есть только 2 раздела - "Генерация ключа доступа" и "Добавление организации"
5. Выбираем "Генерация ключа доступа", ставим флаг "Физическое лицо с машиночитаемой доверенностью"
6. Подгружаем МЧД в формате xml (Имя файла должно соответствовать полю ИдФайл="ON_DOVBB_20230818_46b0e6ab-cc5a-4013-a2bc-0272a466d800" внутри него)
7. Подгружаем файл с открепленной подписью (проверял на расширениях .sig и .sgn, оба работают), нажимаем "Проверить"
8. УТМ стучится на "http://localhost:8080/api/query/proxy/gateway/rsa/mchd/checkMchd" , заливает туда информацию о доверенности и подписи
9. При успехе, открывается следующий раздел с местами деятельности. Показываются места деятельно организации ОТ которой выдана МЧД, которые разрешены этому физ.лицу в МЧД
10 Стандартным способом генерируем РСА-ключ. В меню УТМ после этого показываются все разделы, но ИНН и ФИО сверху по прежнему остаются физ.лица
11. Перезапускаем УТМ - вуаля, вверху домашней страницы отображается ИНН/КПП места деятельности и название организации.

Документы успешно отправляются через этот УТМ и успешно поступают ответы.



Дополнительно протестил кейсы
-Перегенерация РСА- ключа. С ней были проблемы, но после зачистки смарт-карты утилитой DeleteRSA получилось повторно перезаписать RSA
-Переустановка/обновление УТМ при вставленном ключе представителя, на котором уже сгенерирован РСА - все прошло без проблем, УТМ сразу открылся по ИНН организации из РСА-ключа. МЧД повторно прикладывать не потребовалось.