OpenAI
এই পেজটি মেশিন দিয়ে অনুবাদ করা হয়েছে। মূল ইংরেজি আর্টিকেল দেখুন

OpenAI Mutual TLS বেটা প্রোগ্রাম

আপডেট করা হয়েছে: 14 days ago

OpenAI Mutual TLS প্রতিষ্ঠানগুলোকে তাদের OpenAI API ট্র্যাফিকের জন্য অতিরিক্ত নিরাপত্তা স্তর কনফিগার করার সুযোগ দেয়. কনফিগার করা হলে, API অনুরোধগুলো https://mtls.api.openai.com-এ (অথবা EU ডাটা রেসিডেন্সি গ্রাহকদের জন্য https://mtls-eu.api.openai.com-এ) করতে হবে এবং সঠিক API key ও ক্লায়েন্ট সার্টিফিকেট দেওয়া হলে তবেই ট্র্যাফিক গ্রহণ করা হবে. mTLS https://platform.openai.com ড্যাশবোর্ডে প্রযোজ্য নয়. এই ফিচারটি বর্তমানে বেটা পর্যায়ে রয়েছে.

আমি কীভাবে mTLS ইন্টিগ্রেশন সেট আপ করব?

সেটিংস নেভিগেশন বারে আপনি “Mutual TLS” ট্যাব দেখতে পাবেন.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

সার্টিফিকেট আপলোড করুন

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

সার্টিফিকেট সক্রিয় করুন

আপনার সার্টিফিকেট আপলোড করার পর, পরবর্তী ধাপ হলো আপনার সার্টিফিকেট সক্রিয় করা. একবার কোনো সার্টিফিকেট কোনো প্রজেক্টের জন্য সক্রিয় হলে, সেই প্রজেক্টে যাওয়া সব API অনুরোধের জন্য সংশ্লিষ্ট ক্লায়েন্ট সার্টিফিকেটও প্রয়োজন হবে. কোনো প্রজেক্টে একাধিক সার্টিফিকেট সক্রিয় থাকলে, আপনি যেকোনো সংশ্লিষ্ট ক্লায়েন্ট সার্টিফিকেট পাঠাতে পারেন. যদি কোনো সার্টিফিকেট প্রতিষ্ঠানের জন্য সক্রিয় করা হয়, তবে এটি সব API অনুরোধে প্রযোজ্য হবে এবং সব প্রজেক্টে “ইনহেরিটেড” হবে.

Image

CA সার্টিফিকেটের প্রয়োজনীয়তা

নিম্নলিখিত প্রয়োজনীয়তাগুলো পূরণ করে এমন PEM ফরম্যাটের যেকোনো X.509 CA সার্টিফিকেট আপনি আপলোড করতে পারেন:

  1. আপনি যেগুলো দিয়ে অনুরোধ করার পরিকল্পনা করছেন, সেই ক্লায়েন্ট সার্টিফিকেটগুলোতে সরাসরি সাইন করে

  2. Certificate Authority, Subject Key Identifier, এবং Authority Key Identifier (KeyIdentifier ফরম্যাটে) এক্সটেনশন রয়েছে

  3. Key Usage: “Certificate Sign, CRL Sign” অনুমতি রয়েছে

  4. ১ দিনের মধ্যে মেয়াদ শেষ হওয়ার জন্য সেট করা নয়

  5. মোট সার্টিফিকেটের আকার ১৬kb-এর কম হতে হবে.

ক্লায়েন্ট সার্টিফিকেটের প্রয়োজনীয়তা

ক্লায়েন্ট সার্টিফিকেটগুলো আপনাকে আগে থেকে আপলোড করা সার্টিফিকেটগুলোর দ্বারা সরাসরি সাইনড হতে হবে. এই মুহূর্তে, আমরা বর্তমানে কেবল একক-দৈর্ঘ্যের সার্টিফিকেট চেইন সমর্থন করি. এ ছাড়া, আপনার ক্লায়েন্ট সার্টিফিকেটগুলোকে নিম্নলিখিত প্রয়োজনীয়তাগুলো পূরণ করতে হবে:

  1. Subject Key Identifier এবং Authority Key Identifier এক্সটেনশন (KeyIdentifier ফরম্যাটে) রয়েছে

  2. Key Usage: “Digital Signature, Key Encipherment” অনুমতি রয়েছে

  3. Extended Key Usage: “TLS Web Client Authentication” অনুমতি রয়েছে

  4. Subject Alternate Name এক্সটেনশন রয়েছে

প্রায়শই জিজ্ঞাসিত প্রশ্ন

আমি কি API-এর মাধ্যমে mTLS কনফিগার করতে পারি?

হ্যাঁ — আরও তথ্যের জন্য আপনি https://platform.openai.com/docs/api-reference/-এ API রেফারেন্স দেখতে পারেন.

কোন এন্ডপয়েন্টগুলো mTLS সমর্থন করে?

এই বেটা সময়কালে, mTLS আনুষ্ঠানিকভাবে সমর্থিত

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

আমি কীভাবে আমার অনুরোধের সঙ্গে ক্লায়েন্ট সার্টিফিকেট পাঠাব?

cURL অনুরোধের জন্য, আপনি --cert এবং --key অপশন ব্যবহার করতে পারেন (ম্যান পেজটি এখানে দেখুন). বেশিরভাগ অন্যান্য HTTP ক্লায়েন্টেও ক্লায়েন্ট সার্টিফিকেট পাঠানোর উপায় রয়েছে. উদাহরণ: python-এ requests, js-এ fetch. আমাদের অফিসিয়াল SDK-গুলোর মাধ্যমেও আমরা HTTP ক্লায়েন্ট ওভাররাইড করা সমর্থন করি — Python উদাহরণের জন্য এখানে দেখুন.

প্রোডাকশন ট্র্যাফিকের জন্য mTLS প্রয়োগ করার আগে, নিশ্চিত করুন যে আপনি যে HTTP ক্লায়েন্ট ব্যবহার করছেন সেটি ক্লায়েন্ট সার্টিফিকেট অনুরোধের সঙ্গে ঠিকভাবে কাজ করে (কিছু, যেমন নির্দিষ্ট ব্রাউজারে WebSockets, করে না). মনে রাখবেন, আমাদের সার্ভার ক্লায়েন্ট সার্টিফিকেট অনুরোধে certificate_authorities তালিকা প্রদান করে না.

কারা সার্টিফিকেট অ্যাক্সেস ও পরিবর্তন করতে পারেন?

https://platform.openai.com/settings/organization/mtls ড্যাশবোর্ড UI-এর মাধ্যমে, প্রতিষ্ঠানের মালিকরা সার্টিফিকেট অ্যাক্সেস ও পরিবর্তন করতে পারেন. Admin API Key (https://platform.openai.com/settings/organization/admin-keys) থাকা যে কেউ সার্টিফিকেট অ্যাক্সেস/পরিবর্তন করতে পারেন, তবে সতর্ক থাকুন — আপনি যদি প্রতিষ্ঠান স্তরে Mutual TLS সক্রিয় করেন, তাহলে এই API অনুরোধগুলোর ক্ষেত্রেও আপনি সার্টিফিকেট বাধ্যতামূলক করবেন. সব mTLS পরিবর্তন অডিট লগে দৃশ্যমান.

আমি কতগুলো সার্টিফিকেট রাখতে পারি?

প্রতিটি প্রতিষ্ঠান সর্বোচ্চ ৫০টি সার্টিফিকেট আপলোড করতে পারে, যা বিভিন্ন প্রজেক্টে শেয়ার করা যাবে, তবে অন্য প্রতিষ্ঠানের সঙ্গে নয়. আপনি একবারে ১০টি প্রজেক্টের জন্য একটি সার্টিফিকেট অ্যাটমিকভাবে সক্রিয়/নিষ্ক্রিয় করতে পারেন. বিকল্পভাবে, আপনি আপনার প্রতিষ্ঠানের জন্য বা ১টি নির্দিষ্ট প্রজেক্টের জন্য একবারে ১০টি সার্টিফিকেট সক্রিয়/নিষ্ক্রিয় করতে পারেন.

আমি কি সার্টিফিকেট আপডেট বা মুছে ফেলতে পারি?

আপনি আপনার সার্টিফিকেটগুলোর নাম আপডেট করতে পারেন, কিন্তু কনটেন্ট নয়. সার্টিফিকেটগুলো যদি বর্তমানে কোনো স্কোপে সক্রিয় না থাকে, তাহলে আপনি সেগুলো মুছেও ফেলতে পারেন.

সার্টিফিকেট রিভোকেশন কীভাবে কাজ করে?

এই মুহূর্তে, আমরা CRL বা OCSP stapling সমর্থন করি না. প্রস্তাবিত বিকল্প হলো এর বদলে আপনার API key মুছে ফেলা বা রোটেট করা. আপনি আপনার CA সার্টিফিকেটগুলো বদলাতেও পারেন বা কম মেয়াদের ক্লায়েন্ট সার্টিফিকেট ব্যবহার করতে পারেন.

আমি কি বেশি দৈর্ঘ্যের সার্টিফিকেট চেইন ব্যবহার করতে পারি?

এই মুহূর্তে, আমরা কেবল একক-দৈর্ঘ্যের চেইন সমর্থন করি — অর্থাৎ আপনার CA সার্টিফিকেট আপনার ক্লায়েন্ট সার্টিফিকেটগুলোতে সরাসরি সাইন করা উচিত. আরও প্রশ্ন থাকলে অনুগ্রহ করে আপনার অ্যাকাউন্ট ডিরেক্টরের সঙ্গে যোগাযোগ করুন.

প্রস্তাবিত সেটআপ কী?

এই ফিচারটি প্রথমবার সেট আপ করার সময়, আমরা এমন একটি স্টেজিং প্রজেক্ট দিয়ে শুরু করার পরামর্শ দিই যা অফিসিয়াল প্রোডাকশন ট্র্যাফিক পরিবেশন করে না. আপনার সার্টিফিকেটগুলো আপনার মেশিনগুলোতে সঠিকভাবে সেট আপ আছে এবং আপনি সফলভাবে API ট্র্যাফিক পাঠাতে পারেন তা নিশ্চিত করতে এই সুযোগটি ব্যবহার করুন. এ ছাড়া, আপনার প্রয়োজনগুলো ভালোভাবে বোঝার জন্য আমরা আপনার প্রতিষ্ঠানের সিকিউরিটি টিমের সঙ্গে পরামর্শ করার পরামর্শ দিই.

অতিরিক্ত সহায়তা

আপনি ড্যাশবোর্ড এবং API-এর মাধ্যমে mTLS ফিচারটি সম্পূর্ণভাবে নিজে থেকেই পরিচালনা করতে পারেন. তবে, আপনি যদি প্রথমে শ্যাডো মোডে mTLS সক্রিয় করতে চান, তাহলে অনুগ্রহ করে আপনার অ্যাকাউন্ট ডিরেক্টরের সঙ্গে যোগাযোগ করুন অথবা এই পৃষ্ঠার নিচের ডান কোণে নতুন চ্যাট শুরু করে একটি সাপোর্ট টিকিট খুলুন.

পরিশিষ্ট: পরিভাষা

  • CA সার্টিফিকেট: আপনার বিশ্বাসযোগ্য সার্টিফিকেটগুলোর একটি, যা অনুরোধের সঙ্গে আপনি যে ক্লায়েন্ট সার্টিফিকেট পাঠাবেন সেগুলোতে সরাসরি সাইন করেছে. আপনি চাইলে সেলফ-সাইনড CA সার্টিফিকেট ব্যবহার করতে পারেন.

  • একটি সার্টিফিকেট আপলোড করুন: আপনার অ্যাকাউন্টে একটি CA সার্টিফিকেট যোগ করা. এটি এখনও mTLS-এর জন্য কোথাও প্রয়োগ করা হয় না, তবে আপনি এটি কনফিগার করা শুরু করতে পারেন.

  • স্কোপ: একটি নির্দিষ্ট প্রজেক্ট বা আপনার সম্পূর্ণ প্রতিষ্ঠান.

  • কোনো স্কোপে একটি CA সার্টিফিকেট সক্রিয় করুন: নির্দিষ্টভাবে সেই স্কোপের জন্য mTLS সক্রিয় করে, এবং সব API-key ভিত্তিক অনুরোধের জন্য CA সার্টিফিকেট দ্বারা সাইন করা একটি ক্লায়েন্ট সার্টিফিকেট প্রয়োজন হবে.

  • কোনো স্কোপে একটি CA সার্টিফিকেট নিষ্ক্রিয় করুন: এই স্কোপে অনুরোধ যাচাই করার জন্য এই সার্টিফিকেটের ব্যবহার বন্ধ করে. স্কোপটির জন্য যদি আপনার আর কোনো সার্টিফিকেট অবশিষ্ট না থাকে, তাহলে কার্যত mTLS বন্ধ হয়ে যায়.

  • সার্টিফিকেট ইনহেরিট করা: আপনি যদি আপনার প্রতিষ্ঠানের জন্য কোনো সার্টিফিকেট সক্রিয় করেন, তবে সেটি সব প্রজেক্টের জন্যও সক্রিয় হবে.

এই নিবন্ধটি কি সহায়ক ছিল?