OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

OpenAI Mutual TLS-betaprogram

Opdateret: 27 days ago

OpenAI Mutual TLS giver organisationer mulighed for at konfigurere et ekstra sikkerhedslag for deres OpenAI API-trafik. Når det er konfigureret, skal API-anmodninger sendes til https://mtls.api.openai.com (eller https://mtls-eu.api.openai.com for kunder med EU-dataresidens), og trafik accepteres kun, hvis den rette API-nøgle og det rette klientcertifikat angives. mTLS gælder ikke for dashboardet https://platform.openai.com. Denne funktion er i øjeblikket i beta.

Hvordan opsætter jeg mTLS-integrationen?

På navigationslinjen for indstillinger ser du en fane med navnet »Mutual TLS«.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Upload certifikat

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktivér certifikat

Når du har uploadet dit certifikat, er næste trin at aktivere dit certifikat. Når et certifikat er aktiveret for et projekt, begynder alle API-anmodninger til det pågældende projekt også at kræve et tilsvarende klientcertifikat. Hvis et projekt har flere aktiverede certifikater, kan du angive et hvilket som helst tilsvarende klientcertifikat. Hvis et certifikat er aktiveret for organisationen, gælder det for alle API-anmodninger og »nedarves« af alle projekter.

Image

Krav til CA-certifikater

Du kan uploade ethvert X.509 CA-certifikat i PEM-format, der opfylder følgende krav:

  1. signerer direkte de klientcertifikater, du planlægger at foretage anmodninger med

  2. har udvidelserne Certificate Authority, Subject Key Identifier og Authority Key Identifier (i KeyIdentifier-format)

  3. har Key Usage-tilladelserne: »Certificate Sign, CRL Sign«

  4. er ikke indstillet til at udløbe inden for 1 dag

  5. den samlede certifikatstørrelse skal være mindre end 16 kb.

Krav til klientcertifikater

Klientcertifikater skal være direkte signeret af de certifikater, du har uploadet på forhånd. I øjeblikket understøtter vi kun certifikatkæder med enkelt længde. Derudover skal dine klientcertifikater opfylde følgende krav:

  1. har udvidelserne Subject Key Identifier og Authority Key Identifier (i KeyIdentifier-format)

  2. har Key Usage-tilladelserne: »Digital Signature, Key Encipherment«

  3. har Extended Key Usage-tilladelsen: »TLS Web Client Authentication«

  4. har Subject Alternate Name-udvidelsen

Ofte stillede spørgsmål

Kan jeg konfigurere mTLS via API?

Ja — du kan se API-referencen på https://platform.openai.com/docs/api-reference/ for flere oplysninger.

Hvilke endepunkter understøtter mTLS?

I denne betaperiode understøttes mTLS officielt i

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Hvordan sender jeg klientcertifikater med min anmodning?

For en cURL-anmodning kan du bruge valgmulighederne --cert og --key (se man-siden her). I de fleste andre HTTP-klienter findes der også måder at videregive klientcertifikater på. Eksempler: requests i Python, fetch i JS. Via vores officielle SDK'er understøtter vi også tilsidesættelse af HTTP-klienten — se her for et Python-eksempel.

Før du gennemtvinger mTLS for produktionstrafik, skal du sikre dig, at den HTTP-klient, du bruger, fungerer godt med anmodninger om klientcertifikater (nogle, f.eks. WebSockets i visse browsere, gør ikke). Bemærk, at vores server ikke angiver en certificate_authorities-liste i anmodningen om klientcertifikat.

Hvem kan få adgang til og ændre certifikater?

Via dashboard-brugergrænsefladen https://platform.openai.com/settings/organization/mtls kan organisationens ejere få adgang til og ændre certifikater. Alle med en Admin API Key (https://platform.openai.com/settings/organization/admin-keys) kan også få adgang til/ændre certifikater, men vær opmærksom — hvis du aktiverer Mutual TLS på organisationsniveau, gennemtvinger du også certifikater for disse API-anmodninger. Alle mTLS-ændringer er synlige i revisionslogge.

Hvor mange certifikater kan jeg have?

Hver organisation kan uploade op til 50 certifikater, som kan deles på tværs af projekter, men ikke med andre organisationer. Du kan atomisk aktivere/deaktivere et certifikat for 10 projekter ad gangen. Alternativt kan du aktivere/deaktivere 10 certifikater ad gangen for din organisation eller for 1 specifikt projekt.

Kan jeg opdatere eller slette certifikater?

Du kan opdatere navnene på dine certifikater, men ikke indholdet. Du kan også slette certifikater, hvis de ikke aktuelt er aktive i noget omfang.

Hvordan fungerer tilbagekaldelse af certifikater?

I øjeblikket understøtter vi ikke CRL'er eller OCSP-stapling. Det anbefalede alternativ er i stedet at slette eller rotere din API-nøgle. Du kan også udskifte dine CA-certifikater eller bruge klientcertifikater med kortere gyldighedsperioder.

Kan jeg bruge certifikatkæder med længere længde?

I øjeblikket understøtter vi kun kæder med enkelt længde — dvs. dit CA-certifikat skal signere dine klientcertifikater direkte. Kontakt din Account Director, hvis du har yderligere spørgsmål.

Hvad er den anbefalede opsætning?

Når du opsætter denne funktion første gang, anbefaler vi at starte med et staging-projekt, der ikke håndterer officiel produktionstrafik. Brug denne mulighed til at sikre, at dine certifikater er korrekt konfigureret på dine maskiner, og at du kan sende API-trafik uden problemer. Derudover anbefaler vi, at du rådfører dig med din organisations sikkerhedsteam for bedst muligt at forstå dine behov.

Ekstra support

Du kan selvbetjene mTLS-funktionen fuldt ud via dashboardet og API'en. Men hvis du først vil aktivere mTLS i en skyggetilstand, bedes du kontakte din Account Director eller oprette en supportsag ved at starte en ny chat i nederste højre hjørne af denne side.

Bilag: Terminologi

  • CA-certifikat: Et af dine betroede certifikater, der direkte har signeret de klientcertifikater, som du sender med anmodninger. Du er velkommen til at bruge selvsignerede CA-certifikater.

  • Upload et certifikat: tilføjelse af et CA-certifikat til din konto. Det gennemtvinges endnu ikke nogen steder for mTLS, men du kan begynde at konfigurere det.

  • Omfang: et specifikt projekt eller hele din organisation.

  • Aktivér et CA-certifikat for et omfang: aktiverer mTLS specifikt for det omfang, og alle API-nøglebaserede anmodninger kræver et klientcertifikat, der er signeret af CA-certifikatet.

  • Deaktivér et CA-certifikat for et omfang: deaktiverer brugen af dette certifikat til at verificere anmodninger i dette omfang. Hvis du ikke har nogen certifikater tilbage for omfanget, er mTLS reelt slået fra.

  • Nedarvning af et certifikat: Hvis du aktiverer et certifikat for din organisation, aktiveres det også for alle projekter.

Var denne artikel nyttig?