Importación de certificados de prueba de Thawte en un almacén de claves Java

Estoy tratando de configurar un servidor Tomcat con SSL. He generado un par de claves así:

$ keytool -genkeypair -alias tomcat -keyalg RSA -keystore keys

A continuación, genero una solicitud de firma de certificado:

$ keytool -certreq -keyalg RSA -alias tomcat -keystore keys -file tomcat.csr

Luego copio y pego el contenido detomcat.csr en un formulario en el sitio web de Thawte, solicitando un certificado SSL de prueba. A cambio obtengo dos certificados delimitados con-----BEGIN ... -----END, que guardo debajotomcat.crt ythawte.crt. (Thawte llama al segundo certificado un certificado de 'Thawte Test CA Root').

Cuando intento importar cualquiera de ellos falla:

$ keytool -importcert -alias tomcat -file tomcat.crt -keystore keys
Enter keystore password:
keytool error: java.lang.Exception: Failed to establish chain from reply

$ keytool -importcert -alias thawte -file thawtetest.crt -keystore keys
Enter keystore password:
keytool error: java.lang.Exception: Input not an X.509 certificate

Agregar el-trustcacerts La opción de cualquiera de estos comandos tampoco cambia nada.

¿Alguna idea de lo que estoy haciendo mal aquí?