JavaでSSLやる時は、

keyToolで、
keystore作って、
CSR作って、
証明書買って、
keystoreにルート、中間、サーバ証明書をボコボコ突っ込む、
TomcatやJettyなどのアプリケーションサーバにそのkeystoreを配置する。
みたいな流れです。

で、盲点？なのが、
このサーバ証明書を、nginxとかで使いたい場合、
サーバ証明書はいいんですが、秘密鍵がありません。
一瞬、焦りますが大丈夫です。
ちゃんと、keystoreから秘密鍵がエクスポート出来ます。

といっても何かツールがあるとかではなく、
基本コードを書く必要があるのですが、
Google Code Archive - Long-term storage for Google Code Project Hosting.
いい時代ですね。コードあります。
wikiのUsage見れば、素直に分かります。
ソースも短いので、エイリアスを忘れてしまった場合などは、
少し手をいれると分かるようになります。