El problema era que el jar de postgres era demasiado viejo.
Eliminando libpostgresql-jdbc-java del sistema, descargando e instalando 42.2.8 desde https://jdbc. postgresql.org/download.html (No pude encontrar las coordenadas maven para ello) resolvió el problema de no encontrar el certificado.
También tuve que agregar root.crt a .postgresql, pero desde el registro de errores fue sencillo.
Ahora el problema es que la clave privada no se puede leer porque ningún proveedor de seguridad la entiende. Consulte configurar tomcat/hibernate para tener un proveedor criptográfico compatible con 1.2.840.113549.1.5.13 .