Problemet var att postgres-burken var för gammal.
Ta bort libpostgresql-jdbc-java från systemet, ladda ner och installera 42.2.8 från https://jdbc. postgresql.org/download.html (Jag kunde inte hitta maven-koordinater för det) löste problemet med att inte hitta certifikatet.
Jag var också tvungen att lägga till root.crt till .postgresql, men från felloggen var det enkelt.
Nu är problemet att den privata nyckeln inte kan läsas eftersom ingen säkerhetsleverantör förstår den. Se konfigurera tomcat/hibernate för att ha en kryptografisk leverantör som stöder 1.2.840.113549.1.5.13 .