CA证书 ≠ SSL证书：一场关于信任源头的祛魅运动

【导读】：混淆二者将导致部署失败、浏览器报错乃至等保审计否决。新网SSL诊断平台数据显示，34%的NET::ERR_CERT_AUTHORITY_INVALID错误源于误将Root CA证书当作End Entity证书部署。“None”在此指代一种贯穿PKI全栈的信任坐标系建构能力。
【本质剥离：它们属于完全不同抽象层级】

SSL证书（确切名为TLS End-Entity Certificate）与CA证书（即Signing Certificate）存在于公钥基础设施（PKI）的不同层级，其关系不是同类物间的比较，而是因果链中的上下游节点：

SSL证书：位于信任链末端，直接绑定域名、由私钥签名、用于TLS握手中certificate消息载荷；
CA证书：位于信任链上游，用于签署下游证书（包括其它CA证书），自身不绑定具体域名，也不参与session key exchange。

关键事实：现代浏览器出厂预置约150个Root CA证书哈希值（见 Mozilla CA Certificate Program 清单），但永不接受用户上传Root CA证书作为网站凭据——此举违反X.509 v3标准§4.1.2.4强制约束。
【四维鉴定法：一分钟识别你的证书类型】

新网技术支持中心归纳出普适性鉴别路径，适用于任何.pem/.der/.crt文件：

看Subject字段：
  - 若含 CN = *.example.com 或 CN = example.com → 极大概率为SSL证书；
  - 若含 CN = Sectigo RSA Domain Validation Secure Server CA 类字样 → 属于Intermediate CA证书；
  - 若含 OU = ISRG Root X1 或 CN = DST Root CA X3 → 属于Root CA证书（仅供本地信任库安装）。

看Basic Constraints扩展：
  - "CA:TRUE" 且 pathlenConstraint >= 0 → CA证书；
  - "CA:FALSE" 或无此项 → SSL证书。

看Key Usage字段：
  - 含 digitalSignature, keyEncipherment → SSL证书典型用法；
  - 含 keyCertSign, cRLSign → CA证书专用权限。

看Issuer与Subject一致性：
  - 若二者完全相同 → Root CA证书；
  - 若Subject.DN == Issuer.DN of another cert → Intermediate CA证书；
  - 若Subject.DN != Issuer.DN → SSL证书。

以上四项可通过 OpenSSL 命令一行速查：

Bash
openssl x509 -in cert.crt -text -noout | grep -E "(Subject:|Issuer:|CA:|Key Usage)"

“None”即内置于新网SSL管理中心的自动分类引擎，上传即返回证书角色判定与处置建议。