【導讀】：混淆二者將導致部署失敗、瀏覽器報錯乃至合規審計否決。新網SSL健康診斷平臺數據顯示，31%的“NET::ERR_CERT_AUTHORITY_INVALID”錯誤源于誤將Root CA證書當作End Entity證書部署。在此指代一種貫穿PKI全棧的信任坐標系建構能力。
【本質還原：它們不屬于同一抽象層級】

SSL證書（確切稱為TLS Server Certificate）與CA證書（即Certificate Authority Signing Certificate）存在于公鑰基礎設施（PKI）的不同層級，其關系不是同類物間的比較，而是因果鏈中的上下游節點：

SSL證書是終端實體證書（End Entity Certificate），位于信任鏈末端，直接綁定域名、由私鑰簽名、用于TLS握手中的certificate消息載荷；
CA證書是中間證書（Intermediate CA）或根證書（Root CA），位于信任鏈上游，用于簽署下游證書（包括其它CA證書），自身不綁定具體域名，也不參與TLS session key exchange。

關鍵事實：現代瀏覽器出廠預置約150個Root CA證書哈希值（見 Mozilla CA Certificate Program 清單），但永不接受用戶上傳Root CA證書作為網站憑據——此舉違反X.509 v3標準§4.1.2.4強制約束。
【三維判別法：一分鐘識別你的證書類型】

新網技術支持中心歸納出普適性鑒別路徑，適用于任何.pem/.cer/.crt文件：

看Subject字段：
  - 若含 CN = *.example.com 或 CN = example.com → 極大概率為SSL證書；
  - 若含 CN = Sectigo RSA Domain Validation Secure Server CA 類字樣 → 屬于Intermediate CA證書；
  - 若含 OU = ISRG Root X1 或 CN = DST Root CA X3 → 屬于Root CA證書（僅供本地信任庫安裝）。

看Basic Constraints擴展：
  - "CA:TRUE" 且 pathlenConstraint >= 0 → CA證書；
  - "CA:FALSE" 或無此項 → SSL證書。

看Key Usage字段：
  - 含 digitalSignature, keyEncipherment → SSL證書典型用法；
  - 含 keyCertSign, cRLSign → CA證書專用權限。

以上三項可通過 OpenSSL 命令一行速查：

Bash
openssl x509 -in cert.crt -text -noout | grep -E "(Subject:|CA:|Key Usage)"

即內置于新網SSL管理中心的自動分類引擎，上傳即返回證書角色判定與處置建議。