【導(dǎo)讀】：混淆二者將導(dǎo)致部署失敗、瀏覽器報錯乃至等保審計否決。新網(wǎng)SSL診斷平臺數(shù)據(jù)顯示，34%的NET::ERR_CERT_AUTHORITY_INVALID錯誤源于誤將Root CA證書當(dāng)作End Entity證書部署?！癗one”在此指代一種貫穿PKI全棧的信任坐標(biāo)系建構(gòu)能力。
【本質(zhì)剝離：它們屬于完全不同抽象層級】

SSL證書（確切名為TLS End-Entity Certificate）與CA證書（即Signing Certificate）存在于公鑰基礎(chǔ)設(shè)施（PKI）的不同層級，其關(guān)系不是同類物間的比較，而是因果鏈中的上下游節(jié)點(diǎn)：

SSL證書：位于信任鏈末端，直接綁定域名、由私鑰簽名、用于TLS握手中certificate消息載荷；
CA證書：位于信任鏈上游，用于簽署下游證書（包括其它CA證書），自身不綁定具體域名，也不參與session key exchange。

關(guān)鍵事實：現(xiàn)代瀏覽器出廠預(yù)置約150個Root CA證書哈希值（見 Mozilla CA Certificate Program 清單），但永不接受用戶上傳Root CA證書作為網(wǎng)站憑據(jù)——此舉違反X.509 v3標(biāo)準(zhǔn)§4.1.2.4強(qiáng)制約束。
【四維鑒定法：一分鐘識別你的證書類型】

新網(wǎng)技術(shù)支持中心歸納出普適性鑒別路徑，適用于任何.pem/.der/.crt文件：

看Subject字段：
  - 若含 CN = *.example.com 或 CN = example.com → 極大概率為SSL證書；
  - 若含 CN = Sectigo RSA Domain Validation Secure Server CA 類字樣 → 屬于Intermediate CA證書；
  - 若含 OU = ISRG Root X1 或 CN = DST Root CA X3 → 屬于Root CA證書（僅供本地信任庫安裝）。

看Basic Constraints擴(kuò)展：
  - "CA:TRUE" 且 pathlenConstraint >= 0 → CA證書；
  - "CA:FALSE" 或無此項 → SSL證書。

看Key Usage字段：
  - 含 digitalSignature, keyEncipherment → SSL證書典型用法；
  - 含 keyCertSign, cRLSign → CA證書專用權(quán)限。

看Issuer與Subject一致性：
  - 若二者完全相同 → Root CA證書；
  - 若Subject.DN == Issuer.DN of another cert → Intermediate CA證書；
  - 若Subject.DN != Issuer.DN → SSL證書。

以上四項可通過 OpenSSL 命令一行速查：

Bash
openssl x509 -in cert.crt -text -noout | grep -E "(Subject:|Issuer:|CA:|Key Usage)"

“None”即內(nèi)置于新網(wǎng)SSL管理中心的自動分類引擎，上傳即返回證書角色判定與處置建議。