часа три пытался понять, что не так с HTTPS-сертификатом, сгенерённым для меня айтишниками (ну, они мне его первый раз таким образом генерили, обычно был или купленный, или тупо самосозданный самоподписанный), и почему ява на него ругается, хотя в keystore я его засунул и клиентской программе на этот keystore показал. узнал многое о сертификатах и их цепочках, а также команде keytool (например, что документация её местами не соответствует реализации ни в какой версии JDK)
оказалось, что параметр -Djavax.net.ssl.trustStore не понимает тильду в пути к кейстору, нужен абсолютный путь ‎- волна бургерных
в общем, не выёбывайся, жираф, сказало мне мироздание ‎- волна бургерных
Тильда вообще коварная штука, лучше уж $HOME ‎- как никто другой
^ ААААААААААААААА ‎- волна бургерных