Что должно быть в моем хранилище ключей Java?

Я пришел из чистой среды Windows/IIS. Это все, что я знаю, и это едва. У меня есть подстановочный сертификат, который я приобрел у GeoTrust и который я хочу применить к сайту, работающему на Java/Tomcat. Видимо, я должен создать хранилище ключей Java. В прошлом я успешно преобразовал экспортированный файл PFX в хранилище ключей Java, и это сработало, но я не совсем понял, что делаю. Я взял содержимое зашифрованного файла PFX (используя OpenSSL) и разделил его на несколько незашифрованных файлов.pem, удалил их заголовки, преобразовал их в файлы.der и поместил их (только то, что я определил как закрытый ключ и корневой сертификат) в хранилище ключей Java.jks.

Похоже, это сработало, когда я использовал его, но теперь мне нужно заново его реализовать, и я хочу понять, что происходит: мне нужны сертификаты CA? Если так, должны ли они быть отдельными или вместе (я думаю, что есть два)? Нужен ли Root-сертификат? Как обстоят дела с псевдонимами? Защищены ли мой личный ключ и весь склад ключей паролем?

Вот как мало я знаю. Любая помощь будет оценена.