Estou tentando configurar um servidor Tomcat com SSL. Eu gerei um par de chaves assim:

$ keytool -genkeypair -alias tomcat -keyalg RSA -keystore keys

Em seguida, giro uma solicitação de assinatura de certificado:

$ keytool -certreq -keyalg RSA -alias tomcat -keystore keys -file tomcat.csr

Em seguida, copio e colo o conteúdo detomcat.csr em um formulário no site da Thawte, solicitando um certificado SSL de avaliação. Em troca, recebo dois certificados delimitados por-----BEGIN ... -----END, que eu salvei emtomcat.crt ethawte.crt. (Thawte chama o segundo certificado de certificado 'Thawte Test CA Root').

Quando tento importar um deles, ele falha:

$ keytool -importcert -alias tomcat -file tomcat.crt -keystore keys
Enter keystore password:
keytool error: java.lang.Exception: Failed to establish chain from reply

$ keytool -importcert -alias thawte -file thawtetest.crt -keystore keys
Enter keystore password:
keytool error: java.lang.Exception: Input not an X.509 certificate

Adicionando o-trustcacerts A opção para qualquer um desses comandos também não muda nada.

Alguma idéia do que estou fazendo de errado aqui?