【導讀】：混淆二者將直接導致Nginx啟動失敗、瀏覽器報錯NET::ERR_CERT_COMMON_NAME_INVALID。新網SSL健康平臺數據顯示，41%的證書部署返工源于誤將Root CA證書填入ssl_certificate指令。在此代表一種貫穿X.509 ASN.1語法解析、Trust Store映射、TLS握手幀組裝的全棧理解能力。
【結構正名：它們處于PKI信任金字塔的不同層級】

SSL證書（即TLS End-Entity Certificate）與CA證書（即Signing Certificate of a Certification Authority）在公鑰基礎設施中扮演不可互換的角色：

SSL證書：Subject=CN=example.com，Issuer=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，BasicConstraints=CA:FALSE；
CA證書：Subject=O=Sectigo Limited,CN=Sectigo RSA Domain Validation Secure Server CA，Issuer=C=US,O=The Go Daddy Group\, Inc.,CN=Go Daddy Class 2 Certification Authority，BasicConstraints=CA:TRUE,pathLenConstraint=0。

關鍵事實：現代瀏覽器僅預置Root CA證書哈希（約150個），但拒絕加載任何用戶上傳的Root CA證書作為站點憑據——此行為由Chrome源碼//net/base/x509_util.cc硬編碼強制執行。
【四步判別法：三秒鐘確認你手上的證書類型】

新網一線技術支持團隊提煉出普適性鑒定流程，適用于任意.pem/.der/.crt文件：

看Extension字段：
  - 含 basicConstraints = CA:TRUE → CA證書；
  - 含 extendedKeyUsage = serverAuth → SSL證書；
看Authority Key Identifier（AKI）與Subject Key Identifier（SKI）匹配度：
  - AKI == 上游證書的SKI → 當前為Intermediate CA證書；
  - SKI != 任何已知上級證書的AKI → 當前為End-Entity證書；
看Validity Period起止時間差：
  - ≤ 90天 → 極大概率是Let’s Encrypt簽發的SSL證書；
  - ≥ 10年 → 必為Root CA證書（如DST Root CA X3已于2025年停用）；
終極驗證命令：

Bash
openssl x509 -in cert.crt -purpose -noout | grep "SSL server"

輸出含 OK → 可用于Nginx/Apache；輸出含 NO → 屬于CA證書，禁止部署。

該邏輯已內置于新網SSL管理中心上傳校驗模塊，即自動攔截并提示修正建議。