Das Problem war, dass das Postgres-Jar zu alt war.
Löschen von libpostgresql-jdbc-java aus dem System, Herunterladen und Installieren von 42.2.8 von https://jdbc. postgresql.org/download.html (Ich konnte keine Maven-Koordinaten dafür finden) löste das Problem, dass das Zertifikat nicht gefunden wurde.
Ich musste auch root.crt zu .postgresql hinzufügen, aber anhand des Fehlerprotokolls war es einfach.
Das Problem ist nun, dass der Private Key nicht gelesen werden kann, weil ihn kein Sicherheitsanbieter versteht. Siehe tomcat/hibernate so konfigurieren, dass ein kryptografischer Anbieter 1.2.840.113549.1.5.13 unterstützt .