OpenAI
Diese Seite wurde maschinell übersetzt. Den Originalartikel auf Englisch ansehen.

OpenAI Mutual TLS Beta-Programm

Aktualisiert: 6 days ago

OpenAI Mutual TLS ermöglicht Organisationen, eine zusätzliche Sicherheitsebene für ihren OpenAI-API-Traffic zu konfigurieren. Nach der Konfiguration sollten API-Anfragen an https://mtls.api.openai.com (oder https://mtls-eu.api.openai.com für Kund:innen mit EU-Datenresidenz) gestellt werden. Traffic wird nur akzeptiert, wenn der richtige API-Schlüssel und das richtige Client-Zertifikat bereitgestellt werden. mTLS gilt nicht für das https://platform.openai.com-Dashboard. Diese Funktion befindet sich derzeit in der Beta-Phase.

Wie richte ich die mTLS-Integration ein?

In der Navigationsleiste der Einstellungen siehst du einen Tab „Mutual TLS“.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Zertifikat hochladen

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Zertifikat aktivieren

Nach dem Hochladen deines Zertifikats ist der nächste Schritt, dein Zertifikat zu aktivieren. Sobald ein Zertifikat für ein Projekt aktiviert ist, erfordern alle API-Anfragen an dieses Projekt zusätzlich ein entsprechendes Client-Zertifikat. Wenn für ein Projekt mehrere Zertifikate aktiviert sind, kannst du ein beliebiges entsprechendes Client-Zertifikat übergeben. Wenn ein Zertifikat für die Organisation aktiviert ist, gilt es für alle API-Anfragen und wird von allen Projekten „geerbt“.

Image

Anforderungen an CA-Zertifikate

Du kannst jedes X.509-CA-Zertifikat im PEM-Format hochladen, das die folgenden Anforderungen erfüllt:

  1. signiert direkt deine Client-Zertifikate, mit denen du Anfragen stellen möchtest

  2. verfügt über die Erweiterungen Certificate Authority, Subject Key Identifier und Authority Key Identifier (im KeyIdentifier-Format)

  3. verfügt über die Key-Usage-Berechtigungen „Certificate Sign, CRL Sign

  4. läuft nicht innerhalb von 1 Tag ab

  5. die Gesamtgröße des Zertifikats muss unter 16 KB liegen.

Anforderungen an Client-Zertifikate

Client-Zertifikate müssen von den Zertifikaten, die du zuvor hochgeladen hast, direkt signiert sein. Derzeit unterstützen wir nur einstufige Zertifikatsketten. Darüber hinaus müssen deine Client-Zertifikate die folgenden Anforderungen erfüllen:

  1. verfügt über die Erweiterungen Subject Key Identifier und Authority Key Identifier (im KeyIdentifier-Format)

  2. verfügt über die Key-Usage-Berechtigungen „Digital Signature, Key Encipherment

  3. verfügt über die Extended-Key-Usage-Berechtigung „TLS Web Client Authentication

  4. verfügt über die Subject-Alternate-Name-Erweiterung

FAQ

Kann ich mTLS per API konfigurieren?

Ja — weitere Informationen findest du in der API-Referenz unter https://platform.openai.com/docs/api-reference/.

Welche Endpunkte unterstützen mTLS?

Während dieser Beta-Phase wird mTLS offiziell unterstützt in

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Wie sende ich Client-Zertifikate mit meiner Anfrage?

Für eine cURL-Anfrage kannst du die Optionen --cert und --key verwenden (siehe die Manpage hier). In den meisten anderen HTTP-Clients gibt es ebenfalls Möglichkeiten, Client-Zertifikate zu übergeben. Beispiele: requests in Python, fetch in JS. Über unsere offiziellen SDKs unterstützen wir auch das Überschreiben des HTTP-Clients — siehe hier für ein Python-Beispiel.

Bevor du mTLS für Produktionsverkehr durchsetzt, stelle sicher, dass der von dir verwendete HTTP-Client korrekt mit Client-Zertifikatsanfragen umgeht (einige, etwa WebSockets in bestimmten Browsern, tun dies nicht). Beachte, dass unser Server in der Client-Zertifikatsanfrage keine certificate_authorities-Liste bereitstellt.

Wer kann auf Zertifikate zugreifen und sie ändern?

Über die Dashboard-Benutzeroberfläche https://platform.openai.com/settings/organization/mtls können Organisations-Inhaber:innen auf Zertifikate zugreifen und sie ändern. Alle Personen mit einem Admin-API-Schlüssel (https://platform.openai.com/settings/organization/admin-keys) können ebenfalls auf Zertifikate zugreifen bzw. sie ändern. Beachte jedoch: Wenn du Mutual TLS auf Organisationsebene aktivierst, setzt du Zertifikate auch für diese API-Anfragen durch. Alle mTLS-Änderungen sind in Audit-Logs sichtbar.

Wie viele Zertifikate kann ich haben?

Jede Organisation kann bis zu 50 Zertifikate hochladen, die projektübergreifend, aber nicht mit anderen Organisationen geteilt werden können. Du kannst ein Zertifikat atomar für jeweils 10 Projekte aktivieren/deaktivieren. Alternativ kannst du jeweils 10 Zertifikate für deine Organisation oder für 1 bestimmtes Projekt aktivieren/deaktivieren.

Kann ich Zertifikate aktualisieren oder löschen?

Du kannst die Namen deiner Zertifikate aktualisieren, aber nicht deren Inhalt. Du kannst Zertifikate auch löschen, wenn sie aktuell in keinem Geltungsbereich aktiv sind.

Wie funktioniert der Zertifikatswiderruf?

Derzeit unterstützen wir keine CRLs und kein OCSP-Stapling. Die empfohlene Alternative ist, stattdessen deinen API-Schlüssel zu löschen oder zu rotieren. Du kannst auch deine CA-Zertifikate austauschen oder Client-Zertifikate mit kürzeren Gültigkeitszeiträumen verwenden.

Kann ich längere Zertifikatsketten verwenden?

Derzeit unterstützen wir nur einstufige Ketten — d. h. dein CA-Zertifikat sollte deine Client-Zertifikate direkt signieren. Bitte wende dich an deine:n Account Director:in, wenn du weitere Fragen hast.

Was ist die empfohlene Einrichtung?

Bei der ersten Einrichtung dieser Funktion empfehlen wir, mit einem Staging-Projekt zu beginnen, das keinen offiziellen Produktionsverkehr verarbeitet. Nutze diese Gelegenheit, um sicherzustellen, dass deine Zertifikate auf deinen Rechnern korrekt eingerichtet sind und du API-Traffic erfolgreich senden kannst. Darüber hinaus empfehlen wir, dich mit dem Sicherheitsteam deiner Organisation abzustimmen, um deine Anforderungen bestmöglich zu verstehen.

Zusätzlicher Support

Du kannst die mTLS-Funktion vollständig selbst über das Dashboard und die API verwalten. Wenn du mTLS jedoch zunächst in einem Shadow-Modus aktivieren möchtest, wende dich bitte an deine:n Account Director:in oder eröffne ein Support-Ticket, indem du unten rechts auf dieser Seite einen neuen Chat startest.

Anhang: Terminologie

  • CA-Zertifikat: Eines deiner vertrauenswürdigen Zertifikate, das deine Client-Zertifikate, die du mit Anfragen sendest, direkt signiert hat. Du kannst gerne selbstsignierte CA-Zertifikate verwenden.

  • Zertifikat hochladen: Hinzufügen eines CA-Zertifikats zu deinem Konto. Es wird noch nirgendwo für mTLS durchgesetzt, aber du kannst mit der Konfiguration beginnen.

  • Geltungsbereich: ein bestimmtes Projekt oder deine gesamte Organisation.

  • Ein CA-Zertifikat in einem Geltungsbereich aktivieren: aktiviert mTLS speziell für diesen Geltungsbereich, und alle API-schlüsselbasierten Anfragen müssen ein Client-Zertifikat erfordern, das vom CA-Zertifikat signiert ist.

  • Ein CA-Zertifikat in einem Geltungsbereich deaktivieren: deaktiviert die Nutzung dieses Zertifikats zur Überprüfung von Anfragen in diesem Geltungsbereich. Wenn für den Geltungsbereich keine Zertifikate mehr übrig sind, ist mTLS effektiv deaktiviert.

  • Ein Zertifikat erben: Wenn du ein Zertifikat für deine Organisation aktivierst, wird es auch für alle Projekte aktiviert.

War dieser Artikel hilfreich?