OpenAI
هذه الصفحة مترجمة باستخدام الترجمة الآلية. تفضل بالاطّلاع على المقال الأصلي بالإنجليزية.

برنامج OpenAI Mutual TLS التجريبي

تم التحديث: 14 days ago

تتيح ميزة TLS المتبادل من OpenAI للمؤسسات تكوين طبقة أمان إضافية لحركة مرور OpenAI API الخاصة بها. بعد التكوين، يجب إرسال طلبات API إلى https://mtls.api.openai.com (أو https://mtls-eu.api.openai.com لعملاء إقامة البيانات في الاتحاد الأوروبي)، ولن تُقبل حركة المرور إلا إذا تم تقديم مفتاح API وشهادة العميل الصحيحين. لا ينطبق mTLS على لوحة المعلومات https://platform.openai.com. هذه الميزة حاليًا في إصدار تجريبي.

كيف أُعدّ تكامل mTLS؟

في شريط التنقل الخاص بالإعدادات، سترى علامة تبويب «TLS المتبادل».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

تحميل شهادة

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

تفعيل الشهادة

بعد تحميل شهادتك، تكون الخطوة التالية هي تفعيل شهادتك. بمجرد تفعيل شهادة لمشروع، ستبدأ جميع طلبات API المتجهة إلى ذلك المشروع في طلب شهادة عميل مقابلة أيضًا. إذا كان لدى مشروع عدة شهادات مفعّلة، فيمكنك تمرير أي شهادة عميل مقابلة. إذا تم تفعيل شهادة للمؤسسة، فستنطبق على جميع طلبات API وسيتم «توريثها» بواسطة جميع المشاريع.

Image

متطلبات شهادة CA

يمكنك تحميل أي شهادة X.509 CA بتنسيق PEM تستوفي المتطلبات التالية:

  1. توقّع مباشرةً شهادات العميل التي تخطط لاستخدامها في إرسال الطلبات

  2. تحتوي على امتدادات Certificate Authority وSubject Key Identifier وAuthority Key Identifier (بتنسيق KeyIdentifier)

  3. تحتوي على أذونات Key Usage: ‏«Certificate Sign, CRL Sign»

  4. غير مضبوطة لتنتهي صلاحيتها خلال يوم واحد

  5. يجب أن يكون الحجم الإجمالي للشهادة أقل من 16kb.

متطلبات شهادة العميل

يجب أن تكون شهادات العميل موقّعة مباشرةً بواسطة الشهادات التي حمّلتها مسبقًا. في الوقت الحالي، لا ندعم سوى سلاسل الشهادات ذات الطول الواحد. وبخلاف ذلك، يجب أن تستوفي شهادات العميل لديك المتطلبات التالية:

  1. تحتوي على امتدادي Subject Key Identifier وAuthority Key Identifier (بتنسيق KeyIdentifier)

  2. تحتوي على أذونات Key Usage: ‏«Digital Signature, Key Encipherment»

  3. تحتوي على إذن Extended Key Usage: ‏«TLS Web Client Authentication»

  4. تحتوي على امتداد Subject Alternate Name

الأسئلة الشائعة

هل يمكنني تكوين mTLS عبر API؟

نعم — يمكنك الاطلاع على مرجع API في https://platform.openai.com/docs/api-reference/ لمزيد من المعلومات.

ما نقاط النهاية التي تدعم mTLS؟

خلال فترة الإصدار التجريبي هذه، يكون mTLS مدعومًا رسميًا في

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

كيف أرسل شهادات العميل مع طلبي؟

بالنسبة إلى طلب cURL، يمكنك استخدام الخيارين --cert و--key (راجع صفحة الدليل هنا). في معظم عملاء HTTP الآخرين، توجد طرق لتمرير شهادات العميل أيضًا. أمثلة: requests في Python، وfetch في js. من خلال حِزم SDK الرسمية لدينا، ندعم أيضًا تجاوز عميل HTTP — راجع هنا للاطلاع على مثال بلغة Python.

قبل فرض mTLS على حركة مرور الإنتاج، تأكد من أن عميل HTTP الذي تستخدمه يتعامل جيدًا مع طلبات شهادات العميل (فبعضها، مثل WebSockets في متصفحات معينة، لا يفعل ذلك). لاحظ أن خادمنا لا يوفّر قائمة certificate_authorities في طلب شهادة العميل.

من يمكنه الوصول إلى الشهادات وتعديلها؟

من خلال واجهة مستخدم لوحة المعلومات https://platform.openai.com/settings/organization/mtls، يمكن لمالكي المؤسسة الوصول إلى الشهادات وتعديلها. يمكن لأي شخص لديه مفتاح Admin API Key (https://platform.openai.com/settings/organization/admin-keys) الوصول إلى الشهادات/تعديلها أيضًا، ولكن انتبه — إذا فعّلت TLS المتبادل على مستوى المؤسسة، فستفرض الشهادات على طلبات API هذه أيضًا. تظهر جميع تغييرات mTLS في سجلات التدقيق.

كم عدد الشهادات التي يمكنني امتلاكها؟

يمكن لكل مؤسسة تحميل ما يصل إلى 50 شهادة، ويمكن مشاركتها بين المشاريع ولكن ليس مع مؤسسات أخرى. يمكنك تفعيل/إلغاء تفعيل شهادة بشكل ذري لـ 10 مشاريع في كل مرة. بدلًا من ذلك، يمكنك تفعيل/إلغاء تفعيل 10 شهادات في كل مرة لمؤسستك أو لمشروع محدد واحد.

هل يمكنني تحديث الشهادات أو حذفها؟

يمكنك تحديث أسماء شهاداتك، ولكن ليس محتواها. يمكنك أيضًا حذف الشهادات إذا لم تكن نشطة حاليًا في أي نطاق.

كيف يعمل إبطال الشهادات؟

في الوقت الحالي، لا ندعم قوائم CRL أو تدبيس OCSP. البديل الموصى به هو حذف مفتاح API أو تدويره بدلًا من ذلك. يمكنك أيضًا استبدال شهادات CA لديك أو استخدام شهادات عميل ذات فترات صلاحية أقصر.

هل يمكنني استخدام سلاسل شهادات أطول؟

في الوقت الحالي، ندعم فقط السلاسل ذات الطول الواحد — أي يجب أن توقّع شهادة CA لديك شهادات العميل لديك مباشرةً. يرجى التواصل مع مدير حسابك إذا كانت لديك أسئلة إضافية.

ما الإعداد الموصى به؟

عند إعداد هذه الميزة في البداية، نوصي بالبدء بمشروع مرحلي لا يخدم حركة مرور الإنتاج الرسمية. استغل هذه الفرصة للتأكد من إعداد شهاداتك بشكل صحيح على أجهزتك، ومن قدرتك على إرسال حركة مرور API بنجاح. وبخلاف ذلك، نوصي بالتشاور مع فريق الأمان في مؤسستك لفهم احتياجاتك على أفضل وجه.

دعم إضافي

يمكنك إدارة ميزة mTLS ذاتيًا بالكامل عبر لوحة المعلومات وواجهة API. ومع ذلك، إذا كنت ترغب في تفعيل mTLS في وضع خفي في البداية، فيُرجى التواصل مع مدير حسابك أو فتح تذكرة دعم ببدء محادثة جديدة من الزاوية السفلية اليمنى لهذه الصفحة.

الملحق: المصطلحات

  • شهادة CA: إحدى شهاداتك الموثوقة التي وقّعت مباشرةً شهادات العميل التي سترسلها مع الطلبات. يمكنك استخدام شهادات CA موقّعة ذاتيًا.

  • تحميل شهادة: إضافة شهادة CA إلى حسابك. لا يتم فرضها بعد في أي مكان لـ mTLS، لكن يمكنك البدء في تكوينها.

  • النطاق: مشروع محدد أو مؤسستك بأكملها.

  • تفعيل شهادة CA في نطاق: يفعّل mTLS لذلك النطاق تحديدًا، وستحتاج كل الطلبات المستندة إلى مفاتيح API إلى شهادة عميل موقّعة بواسطة شهادة CA.

  • إلغاء تفعيل شهادة CA في نطاق: يعطّل استخدام هذه الشهادة للتحقق من الطلبات في هذا النطاق. إذا لم تتبقَّ لديك أي شهادات للنطاق، فسيتم إيقاف mTLS فعليًا.

  • وراثة شهادة: إذا فعّلت شهادة لمؤسستك، فسيتم تفعيلها لجميع المشاريع أيضًا.

هل كانت هذه المقالة مفيدة؟