José,
que bom que conseguiu resolver.
Pelo log estava claro que não era problema de handshake por conta do connection refused logo ao iniciar a conexão. Quando existe rejeição de handshake, o debug trace do IAIK mostra "ChainVerifier: No trusted certificate found, rejected."
Aqui passei por um cenário parecido com serviços da NF-e e sempre tinha a mesma resposta do time de segurança, de que tudo estava liberado e os testes que eles efetuavam (telnet) davam sucesso.
Até que eu executei o XPI_INSPECTOR e notei que o servidor de proxy tinha load balancing e um dos nós desse cluster estava sem acesso ao endpoint...
[]'s
JN