【導(dǎo)讀】：混淆二者將導(dǎo)致部署失敗、瀏覽器報(bào)錯(cuò)乃至合規(guī)審計(jì)否決。新網(wǎng)SSL健康診斷平臺(tái)數(shù)據(jù)顯示，31%的“NET::ERR_CERT_AUTHORITY_INVALID”錯(cuò)誤源于誤將Root CA證書當(dāng)作End Entity證書部署。在此指代一種貫穿PKI全棧的信任坐標(biāo)系建構(gòu)能力。
【本質(zhì)還原：它們不屬于同一抽象層級(jí)】

SSL證書（確切稱為TLS Server Certificate）與CA證書（即Certificate Authority Signing Certificate）存在于公鑰基礎(chǔ)設(shè)施（PKI）的不同層級(jí)，其關(guān)系不是同類物間的比較，而是因果鏈中的上下游節(jié)點(diǎn)：

SSL證書是終端實(shí)體證書（End Entity Certificate），位于信任鏈末端，直接綁定域名、由私鑰簽名、用于TLS握手中的certificate消息載荷；
CA證書是中間證書（Intermediate CA）或根證書（Root CA），位于信任鏈上游，用于簽署下游證書（包括其它CA證書），自身不綁定具體域名，也不參與TLS session key exchange。

關(guān)鍵事實(shí)：現(xiàn)代瀏覽器出廠預(yù)置約150個(gè)Root CA證書哈希值（見 Mozilla CA Certificate Program 清單），但永不接受用戶上傳Root CA證書作為網(wǎng)站憑據(jù)——此舉違反X.509 v3標(biāo)準(zhǔn)§4.1.2.4強(qiáng)制約束。
【三維判別法：一分鐘識(shí)別你的證書類型】

新網(wǎng)技術(shù)支持中心歸納出普適性鑒別路徑，適用于任何.pem/.cer/.crt文件：

看Subject字段：
  - 若含 CN = *.example.com 或 CN = example.com → 極大概率為SSL證書；
  - 若含 CN = Sectigo RSA Domain Validation Secure Server CA 類字樣 → 屬于Intermediate CA證書；
  - 若含 OU = ISRG Root X1 或 CN = DST Root CA X3 → 屬于Root CA證書（僅供本地信任庫安裝）。

看Basic Constraints擴(kuò)展：
  - "CA:TRUE" 且 pathlenConstraint >= 0 → CA證書；
  - "CA:FALSE" 或無此項(xiàng) → SSL證書。

看Key Usage字段：
  - 含 digitalSignature, keyEncipherment → SSL證書典型用法；
  - 含 keyCertSign, cRLSign → CA證書專用權(quán)限。

以上三項(xiàng)可通過 OpenSSL 命令一行速查：

Bash
openssl x509 -in cert.crt -text -noout | grep -E "(Subject:|CA:|Key Usage)"

即內(nèi)置于新網(wǎng)SSL管理中心的自動(dòng)分類引擎，上傳即返回證書角色判定與處置建議。