OpenAI
Tato stránka byla přeložena strojově. Zobrazit původní článek v angličtině.

Beta program OpenAI Mutual TLS

Aktualizováno: 16 days ago

OpenAI Mutual TLS umožňuje organizacím nakonfigurovat další vrstvu zabezpečení pro provoz jejich OpenAI API. Po nakonfigurování by požadavky API měly směřovat na https://mtls.api.openai.com (nebo na https://mtls-eu.api.openai.com pro zákazníky s datovou rezidencí v EU) a provoz bude přijat pouze v případě, že bude poskytnut správný klíč API a klientský certifikát. mTLS se nevztahuje na řídicí panel https://platform.openai.com. Tato funkce je aktuálně ve fázi beta.

Jak nastavím integraci mTLS?

Na navigační liště nastavení uvidíte kartu „Mutual TLS“.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Nahrání certifikátu

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktivace certifikátu

Po nahrání certifikátu je dalším krokem jeho aktivace. Jakmile je certifikát pro projekt aktivován, všechny požadavky API směřující do tohoto projektu začnou vyžadovat také odpovídající klientský certifikát. Pokud má projekt aktivováno více certifikátů, můžete předat libovolný odpovídající klientský certifikát. Pokud je certifikát aktivován pro organizaci, bude se vztahovat na všechny požadavky API a všechny projekty jej „zdědí“.

Image

Požadavky na certifikát CA

Můžete nahrát libovolný certifikát CA X.509 ve formátu PEM, který splňuje následující požadavky:

  1. přímo podepisuje klientské certifikáty, s nimiž plánujete posílat požadavky

  2. obsahuje rozšíření Certificate Authority, Subject Key Identifier a Authority Key Identifier (ve formátu KeyIdentifier)

  3. má oprávnění Key Usage: „Certificate Sign, CRL Sign

  4. jeho platnost nevyprší během 1 dne

  5. celková velikost certifikátu musí být menší než 16 kB.

Požadavky na klientský certifikát

Klientské certifikáty musí být přímo podepsány certifikáty, které jste předem nahráli. V tuto chvíli podporujeme pouze jednoúrovňové řetězce certifikátů. Kromě toho musí vaše klientské certifikáty splňovat následující požadavky:

  1. obsahují rozšíření Subject Key Identifier a Authority Key Identifier (ve formátu KeyIdentifier)

  2. mají oprávnění Key Usage: „Digital Signature, Key Encipherment

  3. mají oprávnění Extended Key Usage: „TLS Web Client Authentication

  4. obsahují rozšíření Subject Alternate Name

Časté dotazy

Mohu nakonfigurovat mTLS prostřednictvím API?

Ano — další informace najdete v referenční dokumentaci API na adrese https://platform.openai.com/docs/api-reference/.

Které koncové body podporují mTLS?

Během tohoto beta období je mTLS oficiálně podporováno v

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Jak mohu odesílat klientské certifikáty se svým požadavkem?

U požadavku cURL můžete použít možnosti --cert a --key (viz manuálová stránka zde). Ve většině ostatních klientů HTTP existují také způsoby, jak předávat klientské certifikáty. Příklady: requests v Pythonu, fetch v JS. Prostřednictvím našich oficiálních SDK podporujeme také přepsání klienta HTTP — příklad pro Python najdete zde.

Před vynucením mTLS pro produkční provoz se ujistěte, že klient HTTP, kterého používáte, správně funguje s požadavky na klientské certifikáty (některé, například WebSockety v určitých prohlížečích, tak nefungují). Upozorňujeme, že náš server v požadavku na klientský certifikát neposkytuje seznam certificate_authorities.

Kdo může přistupovat k certifikátům a upravovat je?

Prostřednictvím uživatelského rozhraní řídicího panelu https://platform.openai.com/settings/organization/mtls mohou k certifikátům přistupovat a upravovat je vlastníci organizace. Ke certifikátům může přistupovat a upravovat je také kdokoli s klíčem Admin API Key (https://platform.openai.com/settings/organization/admin-keys), ale pozor — pokud aktivujete Mutual TLS na úrovni organizace, budete certifikáty vynucovat i u těchto požadavků API. Všechny změny mTLS jsou viditelné v auditních protokolech.

Kolik certifikátů mohu mít?

Každá organizace může nahrát až 50 certifikátů, které lze sdílet napříč projekty, ale ne s jinými organizacemi. Certifikát můžete atomicky aktivovat/deaktivovat vždy pro 10 projektů najednou. Případně můžete aktivovat/deaktivovat 10 certifikátů najednou pro svou organizaci nebo pro 1 konkrétní projekt.

Mohu certifikáty aktualizovat nebo odstranit?

Názvy certifikátů můžete aktualizovat, ale jejich obsah nikoli. Certifikáty můžete také odstranit, pokud nejsou aktuálně aktivní v žádném rozsahu.

Jak funguje odvolání certifikátu?

V tuto chvíli nepodporujeme seznamy CRL ani OCSP stapling. Doporučenou alternativou je místo toho odstranit nebo rotovat klíč API. Můžete také vyměnit své certifikáty CA nebo používat klientské certifikáty s kratší dobou platnosti.

Mohu používat delší řetězce certifikátů?

V tuto chvíli podporujeme pouze jednoúrovňové řetězce — tj. váš certifikát CA by měl přímo podepisovat vaše klientské certifikáty. Pokud máte další otázky, obraťte se na svého Account Directora.

Jaké je doporučené nastavení?

Při počátečním nastavování této funkce doporučujeme začít se stagingovým projektem, který neobsluhuje oficiální produkční provoz. Využijte tuto příležitost k ověření, že jsou vaše certifikáty na vašich počítačích správně nastavené a že můžete úspěšně odesílat provoz API. Kromě toho doporučujeme konzultovat vaše potřeby s bezpečnostním týmem vaší organizace, abyste jim co nejlépe porozuměli.

Další podpora

Funkci mTLS můžete plně spravovat svépomocně prostřednictvím řídicího panelu a API. Pokud však chcete mTLS nejprve povolit ve stínovém režimu, obraťte se na svého Account Directora nebo otevřete tiket podpory zahájením nového chatu v pravém dolním rohu této stránky.

Příloha: Terminologie

  • Certifikát CA: Jeden z vašich důvěryhodných certifikátů, který přímo podepsal klientské certifikáty, jež budete odesílat s požadavky. Můžete používat certifikáty CA s vlastním podpisem.

  • Nahrání certifikátu: přidání certifikátu CA do vašeho účtu. Zatím se nikde pro mTLS nevynucuje, ale můžete jej začít konfigurovat.

  • Rozsah: konkrétní projekt nebo celá vaše organizace.

  • Aktivace certifikátu CA v určitém rozsahu: povolí mTLS konkrétně pro tento rozsah a všechny požadavky založené na klíči API budou muset vyžadovat klientský certifikát podepsaný certifikátem CA.

  • Deaktivace certifikátu CA v určitém rozsahu: zakáže použití tohoto certifikátu k ověřování požadavků v tomto rozsahu. Pokud pro daný rozsah nezůstaly žádné certifikáty, mTLS je fakticky vypnuté.

  • Dědění certifikátu: Pokud certifikát aktivujete pro svou organizaci, bude aktivován také pro všechny projekty.

Byl tento článek užitečný?