Команда Newbie keytool - как обновить сертификат, уже добавленный в keystore?

у меня есть самозаверяющий сертификат для моего сервера электронной почты linux exim. Чтобы мои функции Java могли получить доступ к этому серверу электронной почты через GlassFish, я первоначально выпустил:

# keytool -importcert -v -noprompt -alias mail.mycompany.com -file /path/to/mail.mycompany.com.der -keystore /path/to/config/cacerts.jks -storepass changeit
Certificate was added to keystore

это работало нормально, пока сертификат не истек. Мне пришлось создать новый самозаверяющий сертификат, и теперь Java выдает ошибку PKIX path validation failed … path does not chain with any of the trust anchors.

чтобы попытаться исправить это, я создал новую mail.mycompany.com.der файл из нового сертификата exim (как это было сделано изначально). Но когда я выдаю вышеуказанную команду keytool (как это было сделано изначально), это дает ошибку Certificate not imported, alias <mail.mycompany.com> already exists.

Я думаю, проблема в том, что я не могу использовать ту же команду keytool. Мне нужно использовать другой, который не добавляет сертификат в хранилище ключей, но обновляет сертификат уже там с более новой версией. Кто-нибудь может указать мне правильное направление для этой команды?

в стороне, есть ли какой-то автоматизированный процесс, который мне не хватает? То есть срок действия сертификата все время истекает... означает ли это, что ИТ-администраторы должны всегда обновлять хранилище ключей новыми сертификатами вручную использовать такой код? Или это можно как-то автоматизировать?