java当tomcat提供了一个密钥库时，为什么我们需要一个jssecerts文件

我通过keytool生成了一个密钥对，并将其放入一个名为keystore的新密钥库中。在tomcat中，在安全端口的连接器中，我将密钥库指向所述密钥库。 现在，当我通过chrome访问tomcat时，我得到了一个关于证书的警告。我点击了锁图标，保存了证书并将其导入chrome。现在，当我访问我的服务时，我确实得到了绿色图标，但我得到了一个异常-PKIX路径构建失败：无法找到请求目标的有效证书路径。 这是使用我从web上下载的InstallCert脚本修复的，该脚本创建了jssecerts文件，并将其移动到jre目录中。 所有这些都按预期工作，但我不明白为什么我们需要创建jssecerts文件

如果我正确理解了流程，那么当浏览器转到安全端口时，服务器将从密钥库获取证书并将其发送到浏览器。然而，由于它是一个自签名证书，浏览器会抱怨，然后我要么说，我了解风险并继续，要么我将该证书导入到chrome中（这使该证书可信）。 如果上述理解是正确的，那么我就不需要jssecerts文件。显然，有一些事情是错误的，因为在我运行InstallCert并将jssecerts移动到jre中的security文件夹之前，上面的方法是行不通的。（我本可以将它添加到cacerts中，而不是jssecerts，但要点是一样的——为什么？）

我尝试用信任库配置tomcat，并指向密钥库，但是

希望外面的安全专家能对此有所了解

谢谢 -安尼什