SSL证书 ≠ CA证书：一场关于信任传递链的清醒教育

【导读】：混淆二者将导致部署失败、浏览器报错乃至合规审计否决。新网SSL健康诊断平台数据显示，31%的“NET::ERR_CERT_AUTHORITY_INVALID”错误源于误将Root CA证书当作End Entity证书部署。在此指代一种贯穿PKI全栈的信任坐标系建构能力。
【本质还原：它们不属于同一抽象层级】

SSL证书（确切称为TLS Server Certificate）与CA证书（即Certificate Authority Signing Certificate）存在于公钥基础设施（PKI）的不同层级，其关系不是同类物间的比较，而是因果链中的上下游节点：

SSL证书是终端实体证书（End Entity Certificate），位于信任链末端，直接绑定域名、由私钥签名、用于TLS握手中的certificate消息载荷；
CA证书是中间证书（Intermediate CA）或根证书（Root CA），位于信任链上游，用于签署下游证书（包括其它CA证书），自身不绑定具体域名，也不参与TLS session key exchange。

关键事实：现代浏览器出厂预置约150个Root CA证书哈希值（见 Mozilla CA Certificate Program 清单），但永不接受用户上传Root CA证书作为网站凭据——此举违反X.509 v3标准§4.1.2.4强制约束。
【三维判别法：一分钟识别你的证书类型】

新网技术支持中心归纳出普适性鉴别路径，适用于任何.pem/.cer/.crt文件：

看Subject字段：
  - 若含 CN = *.example.com 或 CN = example.com → 极大概率为SSL证书；
  - 若含 CN = Sectigo RSA Domain Validation Secure Server CA 类字样 → 属于Intermediate CA证书；
  - 若含 OU = ISRG Root X1 或 CN = DST Root CA X3 → 属于Root CA证书（仅供本地信任库安装）。

看Basic Constraints扩展：
  - "CA:TRUE" 且 pathlenConstraint >= 0 → CA证书；
  - "CA:FALSE" 或无此项 → SSL证书。

看Key Usage字段：
  - 含 digitalSignature, keyEncipherment → SSL证书典型用法；
  - 含 keyCertSign, cRLSign → CA证书专用权限。

以上三项可通过 OpenSSL 命令一行速查：

Bash
openssl x509 -in cert.crt -text -noout | grep -E "(Subject:|CA:|Key Usage)"

即内置于新网SSL管理中心的自动分类引擎，上传即返回证书角色判定与处置建议。