CAC включить JBoss

Я пытаюсь включить веб-приложение, развернутое на JBoss 4.2.3, для аутентификации сертификата клиента с использованием выданного DOD CAC, ActivClient и IE на клиентском компьютере. В качестве подтверждения концепции мне удалось заставить аутентификацию клиентского сертификата работать для консоли JMX с помощью мягкого сертификата (сгенерированный самоподписанный сертификат, преобразованный в формат PKCS12 и импортированный в IE). Я также могу использовать мой пример (демо) CAC для аутентификации в TriCare онлайн, предположительно для демо-пользователя.

Однако я попытался экспортировать сертификат из CAC и импортировать его в мое хранилище доверенных сертификатов JKS, используя запись CN в качестве псевдонима (не уверен, что это необходимо или нет), и он просто не работает вообще. В журнале JBoss я получаю сообщение об ошибке "Нулевой сертификат в цепочке", и на клиенте не запрашивается выбор сертификата или ввод PIN-кода. Моя лучшая теория заключается в том, что у меня нет сертификата в правом хранилище доверенных сертификатов, поэтому он не знает, какой сертификат запрашивать у клиента, но я не знаю, как подтвердить это подозрение или что может быть не так.

Облегчит ли JBoss с Apache этот процесс? (Это внутреннее приложение, поэтому мы только что разрешили JBoss быть веб-сервером.)

Поможет ли переход на менее древнюю версию JBoss?

Существуют ли отладочные операторы, которые я мог бы включить где-нибудь, чтобы дать мне более четкое представление о том, что происходит?

Где-нибудь есть пошаговая документация? Как я могу получить экспертизу по этому вопросу? Я собирал свое решение на основе онлайн-документации JBoss 4, "JBoss in Action", "Базовых шаблонов безопасности" и некоторых вопросов и ответов, которые затрагивают эту проблему здесь, в SO.

Любая помощь будет принята с благодарностью!