我之前也踩过一模一样的坑——之前用Kafka Tool连集群顺得不行，一开SSL配置完JKS路径和密码就报这个错，折腾了好一阵才搞定。下面是几个亲测有效的排查方向，你可以挨个试：

• 先确认JKS文件本身没问题
  别上来就怀疑工具，先验证你的JKS文件是不是真的能用。用Java自带的keytool命令扫一遍：

  keytool -list -keystore /path/to/your/truststore.jks -storepass your_store_password
  

  如果命令报错说文件损坏或者密码不对，那直接换个正确的JKS文件就行。另外还要注意文件权限，比如在Linux/macOS下，Kafka Tool运行的用户得有读取这个文件的权限，别搞成root专属了。

• 检查SSL配置项是不是没填全
  只给JKS路径和密码可能不够，得看集群是单向SSL还是双向SSL：

  • 如果是单向SSL（只验证服务端），你只需要配置truststore；但如果是双向SSL（客户端也要给证书），得同时配置keystore和truststore，缺一个都会握手失败。
  • 还要核对SSL协议版本，比如集群用的是TLSv1.2，你得在Kafka Tool里指定对应版本，有些工具默认用的旧版本协议，会被集群拒绝。

• 别用错端口和地址
  开启SSL后，集群的监听端口一般会换成9093（默认非SSL是9092），你得确认Kafka Tool里填的是新的SSL端口。还有如果是多节点集群，要确保填的所有节点都开启了SSL监听，别混进了没开SSL的节点地址。

• 扒开日志看细节
  “failed to create new kafkaAdminClient”这个报错太笼统了，根本看不出问题在哪。你可以打开Kafka Tool的日志功能（一般在设置里能找到日志路径，或者启动时加-Dlogging.level=DEBUG参数），看看日志里的具体异常——比如是不是证书链不完整、握手超时，或者是集群根本没响应，这些细节能直接帮你定位问题。

• 先用Kafka自带工具测一遍
  有时候问题不在客户端，而是集群端的SSL配置有问题。你可以用Kafka自带的命令行工具先测连接：
  先写个client-ssl.properties配置文件：

  security.protocol=SSL
  ssl.truststore.location=/path/to/your/truststore.jks
  ssl.truststore.password=your_store_password
  # 如果是双向SSL，加上下面这几行
  ssl.keystore.location=/path/to/your/keystore.jks
  ssl.keystore.password=your_keystore_password
  ssl.key.password=your_key_password
  

  然后执行列topic的命令：

  kafka-topics.sh --list --bootstrap-server your-kafka-broker:9093 --command-config /path/to/client-ssl.properties
  

  如果这个命令能成功，那就是Kafka Tool的配置还有遗漏；如果连命令行都失败，那得先去排查集群的SSL配置是不是没生效。

内容的提问来源于stack exchange，提问作者nitinsridar