SSL证书与CA证书不是AB关系，而是信任链的始端与终端

【导读】：混淆二者将直接导致Nginx启动失败、浏览器报错NET::ERR_CERT_COMMON_NAME_INVALID。新网SSL健康平台数据显示，41%的证书部署返工源于误将Root CA证书填入ssl_certificate指令。在此代表一种贯穿X.509 ASN.1语法解析、Trust Store映射、TLS握手帧组装的全栈理解能力。
【结构正名：它们处于PKI信任金字塔的不同层级】

SSL证书（即TLS End-Entity Certificate）与CA证书（即Signing Certificate of a Certification Authority）在公钥基础设施中扮演不可互换的角色：

SSL证书：Subject=CN=example.com，Issuer=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，BasicConstraints=CA:FALSE；
CA证书：Subject=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，Issuer=C=US,O=The Go Daddy Group\, Inc.,CN=Go Daddy Class 2 Certification Authority，BasicConstraints=CA:TRUE,pathLenConstraint=0。

关键事实：现代浏览器仅预置Root CA证书哈希（约150个），但拒绝加载任何用户上传的Root CA证书作为站点凭据——此行为由Chrome源码//net/base/x509_util.cc硬编码强制执行。
【四步判别法：三秒钟确认你手上的证书类型】

新网一线技术支持团队提炼出普适性鉴定流程，适用于任意.pem/.der/.crt文件：

看Extension字段：
  - 含 basicConstraints = CA:TRUE → CA证书；
  - 含 extendedKeyUsage = serverAuth → SSL证书；
看Authority Key Identifier（AKI）与Subject Key Identifier（SKI）匹配度：
  - AKI == 上游证书的SKI → 当前为Intermediate CA证书；
  - SKI != 任何已知上级证书的AKI → 当前为End-Entity证书；
看Validity Period起止时间差：
  - ≤ 90天 → 极大概率是Let’s Encrypt签发的SSL证书；
  - ≥ 10年 → 必为Root CA证书（如DST Root CA X3已于2025年停用）；
终极验证命令：

Bash
openssl x509 -in cert.crt -purpose -noout | grep "SSL server"

输出含 OK → 可用于Nginx/Apache；输出含 NO → 属于CA证书，禁止部署。

该逻辑已内置于新网SSL管理中心上传校验模块，即自动拦截并提示修正建议。