OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Πρόγραμμα Beta Αμοιβαίου TLS της OpenAI

Τελευταία ενημέρωση: 24 hours ago

Το Mutual TLS της OpenAI επιτρέπει στους οργανισμούς να ρυθμίσουν ένα επιπλέον επίπεδο ασφάλειας για την κίνηση του OpenAI API τους. Μόλις ρυθμιστεί, τα αιτήματα API πρέπει να αποστέλλονται στο https://mtls.api.openai.com (ή στο https://mtls-eu.api.openai.com για πελάτες με γεωγραφική διαμονή δεδομένων στην ΕΕ) και η κίνηση θα γίνεται αποδεκτή μόνο αν παρέχονται το σωστό κλειδί API και το πιστοποιητικό πελάτη. Το mTLS δεν ισχύει για το Dashboard https://platform.openai.com. Αυτή η δυνατότητα βρίσκεται επί του παρόντος σε beta.

Πώς ρυθμίζω την ενσωμάτωση mTLS;

Στη γραμμή πλοήγησης των ρυθμίσεων, θα δείτε μια καρτέλα «Mutual TLS».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Μεταφόρτωση πιστοποιητικού

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Ενεργοποίηση πιστοποιητικού

Μετά τη μεταφόρτωση του πιστοποιητικού σας, το επόμενο βήμα είναι να ενεργοποιήσετε το πιστοποιητικό σας. Μόλις ένα πιστοποιητικό ενεργοποιηθεί για ένα έργο, όλα τα αιτήματα API προς αυτό το έργο θα απαιτούν επίσης αντίστοιχο πιστοποιητικό πελάτη. Αν ένα έργο έχει ενεργοποιημένα πολλά πιστοποιητικά, μπορείτε να περάσετε οποιοδήποτε αντίστοιχο πιστοποιητικό πελάτη. Αν ένα πιστοποιητικό ενεργοποιηθεί για τον οργανισμό, θα ισχύει για όλα τα αιτήματα API και θα «κληρονομείται» από όλα τα έργα.

Image

Απαιτήσεις πιστοποιητικού CA

Μπορείτε να μεταφορτώσετε οποιοδήποτε πιστοποιητικό X.509 CA σε μορφή PEM που πληροί τις παρακάτω απαιτήσεις:

  1. υπογράφει απευθείας τα πιστοποιητικά πελάτη που σκοπεύετε να χρησιμοποιήσετε για αιτήματα

  2. έχει τις επεκτάσεις Certificate Authority, Subject Key Identifier και Authority Key Identifier (σε μορφή KeyIdentifier)

  3. έχει τα δικαιώματα Key Usage: «Certificate Sign, CRL Sign»

  4. δεν έχει οριστεί να λήξει μέσα σε 1 ημέρα

  5. το συνολικό μέγεθος του πιστοποιητικού πρέπει να είναι μικρότερο από 16kb.

Απαιτήσεις πιστοποιητικού πελάτη

Τα πιστοποιητικά πελάτη πρέπει να έχουν υπογραφεί απευθείας από τα πιστοποιητικά που μεταφορτώσατε εκ των προτέρων. Προς το παρόν, υποστηρίζουμε μόνο αλυσίδες πιστοποιητικών μονού μήκους. Εκτός από αυτό, τα πιστοποιητικά πελάτη σας πρέπει να πληρούν τις παρακάτω απαιτήσεις:

  1. έχει την επέκταση Subject Key Identifier και Authority Key Identifier (σε μορφή KeyIdentifier)

  2. έχει τα δικαιώματα Key Usage: «Digital Signature, Key Encipherment»

  3. έχει το δικαίωμα Extended Key Usage: «TLS Web Client Authentication»

  4. έχει την επέκταση Subject Alternate Name

Συχνές ερωτήσεις

Μπορώ να ρυθμίσω το mTLS μέσω API;

Ναι — μπορείτε να δείτε το API Reference στη διεύθυνση https://platform.openai.com/docs/api-reference/ για περισσότερες πληροφορίες.

Ποια τελικά σημεία υποστηρίζουν mTLS;

Κατά τη διάρκεια αυτής της περιόδου beta, το mTLS υποστηρίζεται επίσημα στα

  • /v1/chat/completions (με όλες τις υποστηριζόμενες επεκτάσεις π.χ. εικόνα, ήχος, streaming κ.λπ.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (μέσω web sockets στην πλευρά του διακομιστή)

  • /v1/fine_tuning

  • /v1/tunnels

Πώς στέλνω πιστοποιητικά πελάτη με το αίτημά μου;

Για ένα αίτημα cURL, μπορείτε να χρησιμοποιήσετε τις επιλογές --cert και --key (δείτε τη σελίδα man εδώ). Στους περισσότερους άλλους πελάτες HTTP, υπάρχουν επίσης τρόποι να περάσετε πιστοποιητικά πελάτη. Παραδείγματα: requests σε python, fetch σε js. Μέσω των επίσημων SDK μας, υποστηρίζουμε επίσης την παράκαμψη του πελάτη HTTP — δείτε εδώ για ένα παράδειγμα σε Python.

Πριν επιβάλετε το mTLS για κίνηση παραγωγής, βεβαιωθείτε ότι ο πελάτης HTTP που χρησιμοποιείτε συμπεριφέρεται σωστά με αιτήματα πιστοποιητικού πελάτη (ορισμένοι, όπως τα WebSockets σε ορισμένα προγράμματα περιήγησης, δεν το κάνουν). Σημειώστε ότι ο διακομιστής μας δεν παρέχει λίστα certificate_authorities στο αίτημα πιστοποιητικού πελάτη list.

Ποιος μπορεί να έχει πρόσβαση και να τροποποιεί πιστοποιητικά;

Μέσω του UI του Dashboard https://platform.openai.com/settings/organization/mtls, οι ιδιοκτήτες του οργανισμού μπορούν να έχουν πρόσβαση και να τροποποιούν πιστοποιητικά. Οποιοσδήποτε διαθέτει Admin API Key (https://platform.openai.com/settings/organization/admin-keys) μπορεί επίσης να έχει πρόσβαση/να τροποποιεί πιστοποιητικά, αλλά προσέξτε — αν ενεργοποιήσετε το Mutual TLS σε επίπεδο οργανισμού, θα επιβάλλετε πιστοποιητικά και σε αυτά τα αιτήματα API. Όλες οι αλλαγές mTLS είναι ορατές στα αρχεία καταγραφής ελέγχου.

Πόσα πιστοποιητικά μπορώ να έχω;

Κάθε οργανισμός μπορεί να μεταφορτώσει έως 50 πιστοποιητικά, τα οποία μπορούν να κοινοποιηθούν μεταξύ έργων αλλά όχι σε άλλους οργανισμούς. Μπορείτε να ενεργοποιήσετε/απενεργοποιήσετε ατομικά ένα πιστοποιητικό για 10 έργα κάθε φορά. Εναλλακτικά, μπορείτε να ενεργοποιήσετε/απενεργοποιήσετε 10 πιστοποιητικά κάθε φορά για τον οργανισμό σας ή για 1 συγκεκριμένο έργο.

Μπορώ να ενημερώσω ή να διαγράψω πιστοποιητικά;

Μπορείτε να ενημερώσετε τα ονόματα των πιστοποιητικών σας, αλλά όχι το περιεχόμενο. Μπορείτε επίσης να διαγράψετε πιστοποιητικά αν δεν είναι επί του παρόντος ενεργά σε κανένα πεδίο εφαρμογής.

Πώς λειτουργεί η ανάκληση πιστοποιητικών;

Προς το παρόν, δεν υποστηρίζουμε CRLs ή OCSP stapling. Η προτεινόμενη εναλλακτική είναι να διαγράψετε ή να αλλάξετε το κλειδί API σας. Μπορείτε επίσης να αντικαταστήσετε τα πιστοποιητικά CA σας ή να χρησιμοποιήσετε πιστοποιητικά πελάτη με μικρότερες περιόδους ισχύος.

Μπορώ να χρησιμοποιήσω αλυσίδες πιστοποιητικών μεγαλύτερου μήκους;

Προς το παρόν, υποστηρίζουμε μόνο αλυσίδες μονού μήκους — δηλαδή το πιστοποιητικό CA σας πρέπει να υπογράφει απευθείας τα πιστοποιητικά πελάτη σας. Παρακαλούμε επικοινωνήστε με τον Account Director σας αν έχετε επιπλέον ερωτήσεις.

Ποια είναι η προτεινόμενη ρύθμιση;

Κατά την αρχική ρύθμιση αυτής της δυνατότητας, προτείνουμε να ξεκινήσετε με ένα έργο δοκιμών που δεν εξυπηρετεί επίσημη κίνηση παραγωγής. Χρησιμοποιήστε αυτή την ευκαιρία για να βεβαιωθείτε ότι τα πιστοποιητικά σας έχουν ρυθμιστεί σωστά στα μηχανήματά σας και ότι μπορείτε να στείλετε κίνηση API με επιτυχία. Επιπλέον, προτείνουμε να συμβουλευτείτε την ομάδα ασφάλειας του οργανισμού σας για να κατανοήσετε καλύτερα τις ανάγκες σας.

Επιπλέον υποστήριξη

Μπορείτε να χρησιμοποιήσετε πλήρως μόνοι σας τη δυνατότητα mTLS μέσω του dashboard και του API. Ωστόσο, αν θέλετε αρχικά να ενεργοποιήσετε το mTLS σε λειτουργία shadow, επικοινωνήστε με τον Account Director σας ή ανοίξτε ένα αίτημα υποστήριξης ξεκινώντας μια νέα συνομιλία στην κάτω δεξιά γωνία αυτής της σελίδας.

Παράρτημα: Ορολογία

  • Πιστοποιητικό CA: Ένα από τα έμπιστα πιστοποιητικά σας που έχει υπογράψει απευθείας τα πιστοποιητικά πελάτη που θα στείλετε με τα αιτήματα. Μπορείτε να χρησιμοποιήσετε αυτοϋπογεγραμμένα πιστοποιητικά CA.

  • Μεταφόρτωση πιστοποιητικού: προσθήκη ενός πιστοποιητικού CA στον λογαριασμό σας. Δεν επιβάλλεται ακόμη πουθενά για mTLS, αλλά μπορείτε να ξεκινήσετε να το ρυθμίζετε.

  • Πεδίο εφαρμογής: ένα συγκεκριμένο έργο ή ολόκληρος ο οργανισμός σας.

  • Ενεργοποίηση πιστοποιητικού CA σε ένα πεδίο εφαρμογής: ενεργοποιεί το mTLS ειδικά για αυτό το πεδίο εφαρμογής και όλα τα αιτήματα που βασίζονται σε κλειδί API θα πρέπει να απαιτούν πιστοποιητικό πελάτη που έχει υπογραφεί από το πιστοποιητικό CA.

  • Απενεργοποίηση πιστοποιητικού CA σε ένα πεδίο εφαρμογής: απενεργοποιεί τη χρήση αυτού του πιστοποιητικού για την επαλήθευση αιτημάτων σε αυτό το πεδίο εφαρμογής. Αν δεν απομένουν πιστοποιητικά για το πεδίο εφαρμογής, το mTLS ουσιαστικά απενεργοποιείται.

  • Κληρονόμηση πιστοποιητικού: Αν ενεργοποιήσετε ένα πιστοποιητικό για τον οργανισμό σας, θα ενεργοποιηθεί επίσης για όλα τα έργα.

Σας βοήθησε αυτό το άρθρο;