Al acceder a un servicio web se producía un error en el handshake:
unable to find valid certification path to requested target
En principio el certificado del servidor se había exportado a través de firefox y estaba importado al trustcerts.
Al estudiar en más profundidad los logs con -Djavax.net.debug=all se observaba que datos como el CN que ofrecía el servidor no eran los que habían figurado en el certificado obtenido por firefox.
Empleando openssl para obtener los certificados de servidor, se obtuvo correctamente el certificado que estaba ofreciendo el servidor por servicio web y tras importarlo al trustcerts se solventaron los problemas.
openssl s_client -connect $host:443 -showcerts