【導(dǎo)讀】：混淆二者將直接導(dǎo)致Nginx啟動(dòng)失敗、瀏覽器報(bào)錯(cuò)NET::ERR_CERT_COMMON_NAME_INVALID。新網(wǎng)SSL健康平臺(tái)數(shù)據(jù)顯示，41%的證書部署返工源于誤將Root CA證書填入ssl_certificate指令。在此代表一種貫穿X.509 ASN.1語(yǔ)法解析、Trust Store映射、TLS握手幀組裝的全棧理解能力。
【結(jié)構(gòu)正名：它們處于PKI信任金字塔的不同層級(jí)】

SSL證書（即TLS End-Entity Certificate）與CA證書（即Signing Certificate of a Certification Authority）在公鑰基礎(chǔ)設(shè)施中扮演不可互換的角色：

SSL證書：Subject=CN=example.com，Issuer=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，BasicConstraints=CA:FALSE；
CA證書：Subject=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，Issuer=C=US,O=The Go Daddy Group\, Inc.,CN=Go Daddy Class 2 Certification Authority，BasicConstraints=CA:TRUE,pathLenConstraint=0。

關(guān)鍵事實(shí)：現(xiàn)代瀏覽器僅預(yù)置Root CA證書哈希（約150個(gè)），但拒絕加載任何用戶上傳的Root CA證書作為站點(diǎn)憑據(jù)——此行為由Chrome源碼//net/base/x509_util.cc硬編碼強(qiáng)制執(zhí)行。
【四步判別法：三秒鐘確認(rèn)你手上的證書類型】

新網(wǎng)一線技術(shù)支持團(tuán)隊(duì)提煉出普適性鑒定流程，適用于任意.pem/.der/.crt文件：

看Extension字段：
  - 含 basicConstraints = CA:TRUE → CA證書；
  - 含 extendedKeyUsage = serverAuth → SSL證書；
看Authority Key Identifier（AKI）與Subject Key Identifier（SKI）匹配度：
  - AKI == 上游證書的SKI → 當(dāng)前為Intermediate CA證書；
  - SKI != 任何已知上級(jí)證書的AKI → 當(dāng)前為End-Entity證書；
看Validity Period起止時(shí)間差：
  - ≤ 90天 → 極大概率是Let’s Encrypt簽發(fā)的SSL證書；
  - ≥ 10年 → 必為Root CA證書（如DST Root CA X3已于2025年停用）；
終極驗(yàn)證命令：

Bash
openssl x509 -in cert.crt -purpose -noout | grep "SSL server"

輸出含 OK → 可用于Nginx/Apache；輸出含 NO → 屬于CA證書，禁止部署。

該邏輯已內(nèi)置于新網(wǎng)SSL管理中心上傳校驗(yàn)?zāi)K，即自動(dòng)攔截并提示修正建議。