В примере, test_jcp_wss4j1_6 используется инициализация wss4j. Файл WebContent/crypto.properties
Есть даже некий объект, который должен сохранять указатель на закрытый ключ сертификата.

Только вот не задача. Базовый класс Merlin никогда не загрузит стандартное хранилище с личными ключами HDImageStore.
Везде, в примерах, хранилище загружается следующим образом:

KeyStore hdImageStore = KeyStore.getInstance(STORE_TYPE);
hdImageStore.load(null, null);

Merlin загружает хранилище только в случае наличия параметра
org.apache.ws.security.crypto.merlin.keystore.file = {path-to-file-keystore}

Получается, что это профанация wss4j. И мы вынуждены использовать низкоуровневые функции подписывания SOAP запроса, вместо нормальной работы с wss4j.
Надо всего лишь, дать правильную реализацию MerlinEx, с возможностью использования базового хранилища личных ключей.

Отличная статья, спасибо! Справедливости ради замечу что
вылилось в достаточно большую статью с переопределением n классов. В целом тем кто хочет использовать CXF будет очень полезно.