OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Programa beta de Mutual TLS de OpenAI

Última actualización: 6 days ago

OpenAI Mutual TLS permite a las organizaciones configurar una capa adicional de seguridad para su tráfico de API de OpenAI. Una vez configurado, las solicitudes de API deben realizarse a https://mtls.api.openai.com (o a https://mtls-eu.api.openai.com para clientes de residencia de datos en la UE), y el tráfico solo se aceptará si se proporcionan la clave de API y el certificado de cliente correctos. mTLS no se aplica al panel https://platform.openai.com. Esta función se encuentra actualmente en versión beta.

¿Cómo configuro la integración de mTLS?

En la barra de navegación de configuración, verás una pestaña “TLS mutuo”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Cargar certificado

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Activar certificado

Después de cargar tu certificado, el siguiente paso es activar tu certificado. Una vez que un certificado está activado para un proyecto, todas las solicitudes de API dirigidas a ese proyecto comenzarán a requerir también un certificado de cliente correspondiente. Si un proyecto tiene varios certificados activados, puedes pasar cualquier certificado de cliente correspondiente. Si un certificado está activado para la organización, se aplicará a todas las solicitudes de API y todos los proyectos lo “heredarán”.

Image

Requisitos de los certificados de CA

Puedes cargar cualquier certificado de CA X.509 en formato PEM que cumpla con los siguientes requisitos:

  1. firma directamente tus certificados de cliente con los que planeas realizar solicitudes

  2. tiene las extensiones Certificate Authority, Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  3. tiene los permisos Key Usage: “Certificate Sign, CRL Sign

  4. no está configurado para vencer dentro de 1 día

  5. el tamaño total del certificado debe ser inferior a 16 kb.

Requisitos de los certificados de cliente

Los certificados de cliente deben estar firmados directamente por los certificados que cargaste previamente. Por el momento, solo admitimos cadenas de certificados de una sola longitud. Además de esto, tus certificados de cliente deben cumplir con los siguientes requisitos:

  1. tiene las extensiones Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  2. tiene los permisos Key Usage: “Digital Signature, Key Encipherment

  3. tiene el permiso Extended Key Usage: “TLS Web Client Authentication

  4. tiene la extensión Subject Alternate Name

Preguntas frecuentes

¿Puedo configurar mTLS mediante la API?

Sí; puedes consultar la referencia de la API en https://platform.openai.com/docs/api-reference/ para obtener más información.

¿Qué puntos de acceso admiten mTLS?

Durante este período beta, mTLS cuenta con soporte oficial en

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

¿Cómo envío certificados de cliente con mi solicitud?

Para una solicitud de cURL, puedes usar las opciones --cert y --key (consulta la página del manual aquí). En la mayoría de los demás clientes HTTP, también hay formas de pasar certificados de cliente. Ejemplos: requests en Python, fetch en JS. Mediante nuestros SDK oficiales, también admitimos anular el cliente HTTP; consulta aquí para ver un ejemplo en Python.

Antes de aplicar mTLS al tráfico de producción, asegúrate de que el cliente HTTP que usas se comporte bien con las solicitudes de certificados de cliente (algunos, como WebSockets en ciertos navegadores, no lo hacen). Ten en cuenta que nuestro servidor no proporciona una lista certificate_authorities en la solicitud de certificado de cliente.

¿Quién puede acceder a los certificados y modificarlos?

Mediante la interfaz de usuario del panel https://platform.openai.com/settings/organization/mtls, los propietarios de la organización pueden acceder a los certificados y modificarlos. Cualquier persona con una clave de API de administrador (https://platform.openai.com/settings/organization/admin-keys) también puede acceder a los certificados o modificarlos, aunque debes tener cuidado: si activas TLS mutuo a nivel de organización, también exigirás certificados en estas solicitudes de API. Todos los cambios de mTLS son visibles en los registros de auditoría.

¿Cuántos certificados puedo tener?

Cada organización puede cargar hasta 50 certificados, que se pueden compartir entre proyectos, pero no con otras organizaciones. Puedes activar/desactivar de forma atómica un certificado para 10 proyectos a la vez. Como alternativa, puedes activar/desactivar 10 certificados a la vez para tu organización o para 1 proyecto específico.

¿Puedo actualizar o eliminar certificados?

Puedes actualizar los nombres de tus certificados, pero no el contenido. También puedes eliminar certificados si no están activos actualmente en ningún alcance.

¿Cómo funciona la revocación de certificados?

Por el momento, no admitimos CRL ni grapado OCSP. La alternativa recomendada es eliminar o rotar tu clave de API. También puedes reemplazar tus certificados de CA o usar certificados de cliente con períodos de validez más cortos.

¿Puedo usar cadenas de certificados más largas?

Por el momento, solo admitimos cadenas de una sola longitud; es decir, tu certificado de CA debe firmar directamente tus certificados de cliente. Comunícate con tu director de cuenta si tienes más preguntas.

¿Cuál es la configuración recomendada?

Al configurar inicialmente esta función, recomendamos comenzar con un proyecto de staging que no gestione tráfico oficial de producción. Aprovecha esta oportunidad para asegurarte de que tus certificados estén configurados correctamente en tus máquinas y de que puedas enviar tráfico de API correctamente. Además de esto, recomendamos consultar con el equipo de seguridad de tu organización para comprender mejor tus necesidades.

Soporte adicional

Puedes gestionar por tu cuenta la función mTLS mediante el panel y la API. Sin embargo, si quieres habilitar mTLS inicialmente en un modo sombra, comunícate con tu director de cuenta o abre un ticket de soporte iniciando un nuevo chat en la esquina inferior derecha de esta página.

Apéndice: terminología

  • Certificado de CA: uno de tus certificados de confianza que firmó directamente tus certificados de cliente que enviarás con las solicitudes. Puedes usar certificados de CA autofirmados.

  • Cargar un certificado: agregar un certificado de CA a tu cuenta. Todavía no se aplica en ningún lugar para mTLS, pero puedes comenzar a configurarlo.

  • Alcance: un proyecto específico o toda tu organización.

  • Activar un certificado de CA en un alcance: habilita mTLS específicamente para ese alcance, y todas las solicitudes basadas en claves de API deberán requerir un certificado de cliente firmado por el certificado de CA.

  • Desactivar un certificado de CA en un alcance: deshabilita el uso de este certificado para verificar solicitudes en este alcance. Si no te quedan certificados para el alcance, mTLS queda efectivamente desactivado.

  • Heredar un certificado: si activas un certificado para tu organización, también se activará para todos los proyectos.

¿Este artículo te fue útil?