Java SSL работает с ключами из keystore. Формат файла часто называют JKS. Можно держать JKS в базе с импортироваными сертификатами и загружать в рантайме. Keystore можно передать в SSLSocketFactory для HttpClient.

Если JKS не подходит и нужно хранить ключи в pem/p12, то можно попробовать через TrustStrategy самому валидировать сертификаты этими ключами. Например через bouncycastle:
http://www.nakov.com/blog/2009/12/01/x509-certificate-validation-in-java-build-and-verify-chain-and-verify-clr-with-bouncy-castle/

Atum1Кажется прямых решений для HttpClient 3.х вовсе нет ?!

странно
Прямых решений вида httpclient.setMyPEM(InputStream pemFile) нет. Я уже написал выше, что ковырять надо в сторону TrustStrategy (нагуглить пример?), а ключи из файлов либо парсить самостоятельно (нагуглить пример?), либо через bouncycastle (нагуглить пример?). А потом самостоятельно сверять сертификат сервера (ссылку привел выше).

Atum1Странно все это . Ведь очень частая задача - написать клиента ккорый будет работать с сервером по сертификату..

Ни JSE API, ни HttpClient не умеют работать с ключами в указанном формате. Либо парсить руками, либо импортировать в JKS.
SSL в JSE сделан слегка через ж. Просто работать оно не может без сертификатов в JKS. У HttpClient с этим немного лучше, но он не может использовать ключи в вашем формате. Только JKS.

Atum1фактически алгоритм такой = получить ключи из базы - и преобразовать .
Куда преобразовать? Зачем? Надо их загрузить в объекты, которые предоставляеь JSSE API или bouncycastle. И оперируя этими объектами провалидировать сертификаты сервера. Ну, или смотря с какой целью вообще SSL используется.

Вот в документации, например есть такой полезный для этой задачи параграф

http://hc.apache.org/httpclient-3.x/sslguide.html Examples of SSL customization in HttpClient

There are several custom socket factories available in our contribution package. They can be a good start for those who seek to tailor the behavior of the HTTPS protocol to the specific needs of their application:

EasySSLProtocolSocketFactory can be used to create SSL connections that allow the target server to authenticate with a self-signed certificate.
StrictSSLProtocolSocketFactory can be used to create SSL connections that can optionally perform host name verification in order to help preventing man-in-the-middle type of attacks.
AuthSSLProtocolSocketFactory can be used to optionally enforce mutual client/server authentication. This is the most flexible implementation of a protocol socket factory. It allows for customization of most, if not all, aspects of the SSL authentication.