OpenAI
Diese Seite wurde maschinell übersetzt. Den Originalartikel auf Englisch ansehen.

OpenAI Mutual TLS Beta-Programm

Aktualisiert: 24 hours ago

OpenAI Mutual TLS ermöglicht es Organisationen, eine zusätzliche Sicherheitsebene für ihren OpenAI-API-Datenverkehr zu konfigurieren. Nach der Konfiguration sollten API-Anfragen an https://mtls.api.openai.com gesendet werden (oder an https://mtls-eu.api.openai.com für Kund:innen mit EU-Datenresidenz), und der Datenverkehr wird nur akzeptiert, wenn der richtige API-Schlüssel und das passende Clientzertifikat bereitgestellt werden. mTLS gilt nicht für das https://platform.openai.com-Dashboard. Diese Funktion ist derzeit in der Beta.

Wie richte ich die mTLS-Integration ein?

In der Navigationsleiste der Einstellungen sehen Sie einen Tab „Mutual TLS“.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Zertifikat hochladen

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Zertifikat aktivieren

Nach dem Hochladen Ihres Zertifikats besteht der nächste Schritt darin, Ihr Zertifikat zu aktivieren. Sobald ein Zertifikat für ein Projekt aktiviert ist, erfordern alle API-Anfragen an dieses Projekt zusätzlich ein entsprechendes Clientzertifikat. Wenn für ein Projekt mehrere Zertifikate aktiviert sind, können Sie jedes entsprechende Clientzertifikat übergeben. Wenn ein Zertifikat für die Organisation aktiviert ist, gilt es für alle API-Anfragen und wird von allen Projekten „geerbt“.

Image

Anforderungen an CA-Zertifikate

Sie können jedes X.509-CA-Zertifikat im PEM-Format hochladen, das die folgenden Anforderungen erfüllt:

  1. signiert direkt Ihre Clientzertifikate, mit denen Sie Anfragen senden möchten

  2. hat die Erweiterungen Certificate Authority, Subject Key Identifier und Authority Key Identifier (im KeyIdentifier-Format)

  3. hat die Key-Usage-Berechtigungen „Certificate Sign, CRL Sign

  4. läuft nicht innerhalb von 1 Tag ab

  5. die Gesamtgröße des Zertifikats muss unter 16 KB liegen.

Anforderungen an Clientzertifikate

Clientzertifikate müssen von den Zertifikaten, die Sie vorab hochgeladen haben, direkt signiert sein. Derzeit unterstützen wir nur Zertifikatsketten mit einer einzigen Länge. Abgesehen davon müssen Ihre Clientzertifikate die folgenden Anforderungen erfüllen:

  1. hat die Erweiterungen Subject Key Identifier und Authority Key Identifier (im KeyIdentifier-Format)

  2. hat die Key-Usage-Berechtigungen „Digital Signature, Key Encipherment

  3. hat die Extended-Key-Usage-Berechtigung „TLS Web Client Authentication

  4. hat die Erweiterung „Subject Alternate Name“

FAQ

Kann ich mTLS per API konfigurieren?

Ja — weitere Informationen finden Sie in der API-Referenz unter https://platform.openai.com/docs/api-reference/.

Welche Endpunkte unterstützen mTLS?

Während dieser Beta-Phase wird mTLS offiziell unterstützt in

  • /v1/chat/completions (mit allen unterstützten Erweiterungen, z. B. Bild, Audio, Streaming usw.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (über serverseitige WebSockets)

  • /v1/fine_tuning

  • /v1/tunnels

Wie sende ich Clientzertifikate mit meiner Anfrage?

Für eine cURL-Anfrage können Sie die Optionen --cert und --key verwenden (siehe die manpage hier). In den meisten anderen HTTP-Clients gibt es ebenfalls Möglichkeiten, Clientzertifikate zu übergeben. Beispiele: requests in Python, fetch in JS. Über unsere offiziellen SDKs unterstützen wir auch das Überschreiben des HTTP-Clients — ein Python-Beispiel finden Sie hier.

Bevor Sie mTLS für Produktivdatenverkehr erzwingen, stellen Sie sicher, dass der von Ihnen verwendete HTTP-Client korrekt mit Clientzertifikatsanfragen umgeht (manche, etwa WebSockets in bestimmten Browsern, tun das nicht). Beachten Sie, dass unser Server in der Clientzertifikatsanfrage keine certificate_authorities-Liste bereitstellt.

Wer kann auf Zertifikate zugreifen und sie ändern?

Über die Dashboard-Benutzeroberfläche unter https://platform.openai.com/settings/organization/mtls können Organisations-Inhaber:innen auf Zertifikate zugreifen und sie ändern. Auch alle Personen mit einem Admin-API-Schlüssel (https://platform.openai.com/settings/organization/admin-keys) können auf Zertifikate zugreifen bzw. sie ändern. Beachten Sie jedoch: Wenn Sie Mutual TLS auf Organisationsebene aktivieren, erzwingen Sie Zertifikate auch für diese API-Anfragen. Alle mTLS-Änderungen sind in Audit-Logs sichtbar.

Wie viele Zertifikate kann ich haben?

Jede Organisation kann bis zu 50 Zertifikate hochladen, die projektübergreifend, aber nicht mit anderen Organisationen geteilt werden können. Sie können ein Zertifikat atomar für jeweils 10 Projekte aktivieren/deaktivieren. Alternativ können Sie jeweils 10 Zertifikate für Ihre Organisation oder für 1 bestimmtes Projekt aktivieren/deaktivieren.

Kann ich Zertifikate aktualisieren oder löschen?

Sie können die Namen Ihrer Zertifikate aktualisieren, aber nicht deren Inhalt. Sie können Zertifikate auch löschen, wenn sie derzeit in keinem Geltungsbereich aktiv sind.

Wie funktioniert der Widerruf von Zertifikaten?

Derzeit unterstützen wir weder CRLs noch OCSP-Stapling. Die empfohlene Alternative ist stattdessen, Ihren API-Schlüssel zu löschen oder zu rotieren. Sie können auch Ihre CA-Zertifikate austauschen oder Clientzertifikate mit kürzeren Gültigkeitszeiträumen verwenden.

Kann ich längere Zertifikatsketten verwenden?

Derzeit unterstützen wir nur Ketten mit einer einzigen Länge — d. h. Ihr CA-Zertifikat sollte Ihre Clientzertifikate direkt signieren. Bitte wenden Sie sich an Ihre:n Account Director, wenn Sie weitere Fragen haben.

Welches Setup wird empfohlen?

Bei der erstmaligen Einrichtung dieser Funktion empfehlen wir, mit einem Staging-Projekt zu beginnen, das keinen offiziellen Produktivdatenverkehr bedient. Nutzen Sie diese Gelegenheit, um sicherzustellen, dass Ihre Zertifikate auf Ihren Systemen korrekt eingerichtet sind und Sie API-Datenverkehr erfolgreich senden können. Darüber hinaus empfehlen wir, sich mit dem Sicherheitsteam Ihrer Organisation abzustimmen, um Ihre Anforderungen bestmöglich zu verstehen.

Zusätzlicher Support

Sie können die mTLS-Funktion vollständig selbstständig über das Dashboard und die API nutzen. Wenn Sie mTLS jedoch zunächst in einem Shadow-Modus aktivieren möchten, wenden Sie sich bitte an Ihre:n Account Director oder eröffnen Sie ein Support-Ticket, indem Sie unten rechts auf dieser Seite einen neuen Chat starten.

Anhang: Terminologie

  • CA-Zertifikat: Eines Ihrer vertrauenswürdigen Zertifikate, das direkt Ihre Clientzertifikate signiert hat, die Sie mit Anfragen senden werden. Sie können gerne selbstsignierte CA-Zertifikate verwenden.

  • Ein Zertifikat hochladen: Ein CA-Zertifikat zu Ihrem Konto hinzufügen. Es wird für mTLS noch nirgends erzwungen, aber Sie können mit der Konfiguration beginnen.

  • Geltungsbereich: ein bestimmtes Projekt oder Ihre gesamte Organisation.

  • Ein CA-Zertifikat in einem Geltungsbereich aktivieren: aktiviert mTLS speziell für diesen Geltungsbereich, und alle auf API-Schlüsseln basierenden Anfragen erfordern dann ein Clientzertifikat, das vom CA-Zertifikat signiert ist.

  • Ein CA-Zertifikat in einem Geltungsbereich deaktivieren: deaktiviert die Verwendung dieses Zertifikats zur Verifizierung von Anfragen in diesem Geltungsbereich. Wenn für den Geltungsbereich keine Zertifikate mehr vorhanden sind, ist mTLS effektiv deaktiviert.

  • Ein Zertifikat erben: Wenn Sie ein Zertifikat für Ihre Organisation aktivieren, wird es auch für alle Projekte aktiviert.

War dieser Artikel hilfreich?