Si queremos firmar documentos o usar certificados en Java, hay que importar el certificado a un java keystore. El certificado debe contener la clave pública y también la privada (en un archivo .pfx).
$java -cp jetty-6.1.24.jar org.mortbay.jetty.security.PKCS12Import certificado.pfx certificado.jks
Hay que especificar la contraseña de entrada (la del pfx), y la de salida (la que queramos dar al keystore). Cambiar el nombre del alias, si es necesario:
$ keytool -keystore certificado.jks -storepass changeit -changealias -alias alias_viejo -keypass changeit -destalias alias_nuevo