Esta pergunta do StackOverflow descreve como obter certificados de um armazenamento de chaves Java, como você geraria com keytool no formato PEM e PKCS # 12. Resumindo:
$ keytool -importkeystore -srckeystore srckeystore.jks -destkeystore dest.p12 -srcstoretype jks -deststoretype pkcs12
$ openssl pkcs12 -in dest.p12 -out dest.pem
Você terminará com suas chaves e certificados no formato PEM, bem como uma cópia PKCS # 12 do keystore. Observe que isso ainda requer o uso do openSSL para converter o keystore PKCS # 12 em formato .PEM. Se você exportar diretamente do JKS para o PEM, não obterá as chaves privadas da loja.