Suponho que você já tenha exportado o certificado de CA para um arquivo, como "internal-ca.pem". Além disso, suponho que seja o Tomcat quem inicia a conexão SSL com o servidor IIS.
Você pode deve usar o keytool Java para importar o certificado para o keystore Java que está sendo usado pelo seu mecanismo Tomcat. O keystore para certificados de CA é $ JAVA_HOME / jre / lib / security / cacerts. Então, para importar seu novo certificado interno-ca.pem para este keystore, você usaria:
$JAVA_HOME/bin/keytool -importcert \
-keystore $JAVA_HOME/jre/lib/security/cacerts \
-file /path/to/internal-ca.pem \
-trustcacerts -alias internal-ca-1
A senha padrão para o keystore é: changeit
Verifique se o seu certificado está no keystore:
$JAVA_HOME/bin/keytool -list \
-keystore $JAVA_HOME/jre/lib/security/cacerts -v | less
Teste a conexão com o servidor:
openssl s_client -CAfile /path/to/internal-ca.pem -connect server:port
Isso deve te dar, perto do final de sua saída:
Verify return code: 0 (ok)
Se você quiser testar a confiança de dentro do Tomcat, você terá que escrever algum código de teste para fazê-lo. Desculpe, não conheço nenhum Java. : -)