Google推云端凭证颁发机构服务支援物联网与容器等大规模使用情境

Google新推出了云端凭证颁发机构服务（Certificate Authority Service，CAS），这是一个可高度扩展的服务，用来简化和自动化私有CA的管理和部署，满足新型应用的需要。

数位凭证是许多连网装置和服务，进行授权和身份验证的常用方法之一，包括当用户透过HTTPS连接到企业网站，或是当笔电尝试连接企业无线网路存取点时，数位凭证能够提升互动的安全性，而这些凭证通常是由本地託管的私有CA颁发，其提供的凭证目的是用来注册特定装置和应用程式，因此有效期限通常很长。

而最近CA开始有一些新用法，Google观察到有越来越多组织，想在DevOps和装置管理中，使用公钥基础设施（Public Key Infrastructure，PKI），特别是在物联网应用方面，但是Google表示，PKI难以配置CA是其根本性的问题，更别说大规模运作。

要在DevOps环境中使用私有凭证，是一种新兴的凭证使用案例，要使用凭证保护容器、微服务、虚拟机器和服务帐户，需求与过去的CA用法截然不同，新的使用案例需要频繁地更新凭证，凭证有效期短暂，而现有的私有CA解决方案能力不足，过去企业一年可能仅需要颁发1万张凭证，但是处理物联网装置一年可能需要颁发1,000万张凭证。

过去的凭证注册流程也不支援新型应用程式，以及CI/CD工具链，而且也可能和云端供应商内建的CA不相容，因此用户也无法一致地管理和监控凭证，现在有许多云端原生的企业，应用程式从第一天就上云，因此也不需要自建CA服务，即便有私有凭证的需求，现有的解决方案也都与云端平台不相容，无法支援云端规模的应用。

而Google新推出的CAS，便是要来消弭这个需求缺口，让企业不需要自建私有CA，Google提到，使用CAS，使用者只需要花数分钟，就能从云端控制台或gcloud命令列工具，建立起专用的CA。且用户还可以利用描述性RESTful API，让应用程式自动化获取和管理凭证，并整合到现有的CI/CD通道。