Recebemos outra reemissão de certificado (também tivemos outros servidores bloqueando a reedição original) e configurei o servidor em questão para usar diretamente o keystore PKCS12 em vez de carregar no JKS.
Eu não tenho muita informação para ir aqui, procurando por ideias enquanto eu me esgotava. Fiz uma atualização de certificado de servidor em nossa caixa de tomcat (FreeBSD 9.2). Após a reinicialização, quaisquer conexões a ele falharão imediatamente (página não encontrada no navegador). No entanto, no lado do servidor tudo parece bem. Tomcat está escutando em 443 no IPv4 e no IPv6. Nenhum erro nos logs do sistema. Nenhum erro nos logs do tomcat (catalina). O aplicativo é implantado normalmente, tanto quanto eu posso dizer. Nenhum firewall no meio. Nenhuma outra alteração de configuração foi feita, apenas uma substituição de certificado "simples".
editar
server.xml:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="SSLv3" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA
_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
" />