Как правильно должен работать ssl?

Генерируется один файл keystore в котором находятся и приватный и публичный ключи. Но при генерации указывается пароль на сам keystore и на приватный ключ документация:

• The storepass value that you are promted for specifies the keystore password.
• The keypass value that you are prompted for specifies a password for the private key about to be generated. You will always need this password in order to access the keystore entry containing that key. The entry doesn't have to have its own password. When you are prompted for the key password, you are given the option of letting it be the same as the keystore password.

Так что да, если знать keypass, то можно и притвориться сервером. А в видео, по той ссылке которую Вы дали был указан одинаковый keypass и storepass.