Antes de nada tendrás que ver como maneja las "sesiones" JSP y esa aplicación concreta.

Lo normal en estos casos por simple "incompatibiliad" de como gestionana sus "sesiones" aplicaciones "PHP" y "JSP" (u otros lenguajes) no se trata de crear esa sesión (será que usa cookies? .. u otro sistema? para crear esa sesión?), sino que se "autentifica" desde tu script PHP que tiene los datos de tu usuario (usuario/login para ese otro sistema) llamando por sockets (por fsockopen(), por cURL .. etc) a ese script .jsp que en condiciones normales de uso de esa aplicación toma los valores de "usuario/password" que por algún otro formulario HTML común o autentifiación HTTP le llegan para su proceso.

Ejemplo ...

Si en tu aplicación .jsp .. el script de "validación" de los datos de login del usuario son "usuario" y "password" .. se monta desde tu script PHP un link tipo:

http://www.tal.tal/validacion.jsp?usuario=<? echo $usuario ?>&password=<? echo $password ?>

usando un "header()" (www.php.net/header) podrías redireccionar autentificando desde tu script PHP a esa aplicación JSP .. pero esto no sería muy seguro .. por eso se recomienda usar por ejemplo cURL (www.php.net/curl) para enviar esos datos por sockets a esa página (sobre todo si esa página sólo aceptase esos datos por POST en lugar de GET que es lo que hacemos con el ejemplo propuesto).

Todo esto es parte de los standares del "CGI" (Conmun Gateway Interface) que es lo que usamos para componer esos "URL's" de forma standard y así poder "comunicarse" de cierta forma con todo tipo de aplicaciones hechas en distintos lenguajes.

De esta forma .. será tu .jsp el que cree/registre .. etc lo que necesite esa aplicación JSP para continuar usando dicha aplicación tal cual lo hace si se usa su própio formulario de login para autentificarse contra ella directamente.

Un saludo,