OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Programa beta de Mutual TLS de OpenAI

Actualización: 11 days ago

OpenAI Mutual TLS permite a las organizaciones configurar una capa adicional de seguridad para su tráfico de la API de OpenAI. Una vez configurado, las solicitudes a la API deben hacerse a https://mtls.api.openai.com (o a https://mtls-eu.api.openai.com para clientes con residencia de datos en la UE) y el tráfico solo se aceptará si se proporcionan la clave de API correcta y el certificado de cliente correspondiente. mTLS no se aplica al panel de https://platform.openai.com. Esta función está actualmente en beta.

¿Cómo configuro la integración de mTLS?

En la barra de navegación de ajustes, verás una pestaña de «Mutual TLS».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Subir certificado

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Activar certificado

Después de subir tu certificado, el siguiente paso es activarlo. Una vez que se active un certificado para un proyecto, todas las solicitudes a la API dirigidas a ese proyecto empezarán a requerir también un certificado de cliente correspondiente. Si un proyecto tiene varios certificados activados, puedes enviar cualquier certificado de cliente correspondiente. Si se activa un certificado para la organización, se aplicará a todas las solicitudes a la API y lo «heredarán» todos los proyectos.

Image

Requisitos del certificado de CA

Puedes subir cualquier certificado de CA X.509 en formato PEM que cumpla los siguientes requisitos:

  1. firma directamente tus certificados de cliente con los que planeas hacer solicitudes

  2. tiene las extensiones Certificate Authority, Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  3. tiene los permisos de Key Usage: «Certificate Sign, CRL Sign»

  4. no está configurado para caducar en menos de 1 día

  5. el tamaño total del certificado debe ser inferior a 16 kb.

Requisitos del certificado de cliente

Los certificados de cliente deben estar firmados directamente por los certificados que subiste previamente. Por el momento, solo admitimos cadenas de certificados de una sola longitud. Aparte de esto, tus certificados de cliente deben cumplir los siguientes requisitos:

  1. tiene la extensión Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  2. tiene los permisos de Key Usage: «Digital Signature, Key Encipherment»

  3. tiene el permiso de Extended Key Usage: «TLS Web Client Authentication»

  4. tiene la extensión Subject Alternate Name

Preguntas frecuentes

¿Puedo configurar mTLS mediante la API?

Sí; puedes consultar la referencia de la API en https://platform.openai.com/docs/api-reference/ para obtener más información.

¿Qué puntos de acceso admiten mTLS?

Durante este periodo beta, mTLS es compatible oficialmente con

  • /v1/chat/completions (con todas las extensiones compatibles; p. ej., imagen, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (mediante WebSockets del lado del servidor)

  • /v1/fine_tuning

  • /v1/tunnels

¿Cómo envío certificados de cliente con mi solicitud?

Para una solicitud cURL, puedes usar las opciones --cert y --key (consulta la página del manual aquí). En la mayoría de los demás clientes HTTP, también hay formas de pasar certificados de cliente. Ejemplos: requests en Python, fetch en JS. A través de nuestros SDK oficiales, también admitimos la sustitución del cliente HTTP; consulta aquí un ejemplo en Python.

Antes de aplicar mTLS al tráfico de producción, asegúrate de que el cliente HTTP que usas se comporte bien con las solicitudes de certificado de cliente (algunos, como WebSockets en ciertos navegadores, no lo hacen). Ten en cuenta que nuestro servidor no proporciona una lista certificate_authorities en la solicitud de certificado de cliente.

¿Quién puede acceder y modificar certificados?

A través de la interfaz del panel en https://platform.openai.com/settings/organization/mtls, los propietarios de la organización pueden acceder a los certificados y modificarlos. Cualquier persona con una clave de API de administrador (https://platform.openai.com/settings/organization/admin-keys) también puede acceder a los certificados y modificarlos, pero ten cuidado: si activas Mutual TLS a nivel de organización, también exigirás certificados para estas solicitudes a la API. Todos los cambios de mTLS son visibles en los registros de auditoría.

¿Cuántos certificados puedo tener?

Cada organización puede subir hasta 50 certificados, que pueden compartirse entre proyectos, pero no con otras organizaciones. Puedes activar o desactivar de forma atómica un certificado para 10 proyectos a la vez. Como alternativa, puedes activar o desactivar 10 certificados a la vez para tu organización o para 1 proyecto específico.

¿Puedo actualizar o eliminar certificados?

Puedes actualizar los nombres de tus certificados, pero no el contenido. También puedes eliminar certificados si actualmente no están activos en ningún ámbito.

¿Cómo funciona la revocación de certificados?

Por el momento, no admitimos CRL ni OCSP stapling. La alternativa recomendada es eliminar o rotar tu clave de API. También puedes sustituir tus certificados de CA o usar certificados de cliente con periodos de validez más cortos.

¿Puedo usar cadenas de certificados más largas?

Por el momento, solo admitimos cadenas de una sola longitud; es decir, tu certificado de CA debe firmar directamente tus certificados de cliente. Ponte en contacto con tu Account Director si tienes más preguntas.

¿Cuál es la configuración recomendada?

Al configurar inicialmente esta función, recomendamos empezar con un proyecto de pruebas que no gestione tráfico oficial de producción. Aprovecha esta oportunidad para asegurarte de que tus certificados estén correctamente configurados en tus máquinas y de que puedas enviar tráfico de API correctamente. Además, recomendamos consultar con el equipo de seguridad de tu organización para comprender mejor tus necesidades.

Soporte adicional

Puedes autogestionar completamente la función mTLS mediante el panel y la API. Sin embargo, si quieres habilitar mTLS primero en modo sombra, ponte en contacto con tu Account Director o abre un ticket de soporte iniciando un nuevo chat en la esquina inferior derecha de esta página.

Apéndice: terminología

  • Certificado de CA: uno de tus certificados de confianza que ha firmado directamente los certificados de cliente que enviarás con las solicitudes. Puedes usar certificados de CA autofirmados si lo deseas.

  • Subir un certificado: añadir un certificado de CA a tu cuenta. Todavía no se aplica en ningún lugar para mTLS, pero puedes empezar a configurarlo.

  • Ámbito: un proyecto específico o toda tu organización.

  • Activar un certificado de CA en un ámbito: habilita mTLS específicamente para ese ámbito, y todas las solicitudes basadas en clave de API necesitarán un certificado de cliente firmado por el certificado de CA.

  • Desactivar un certificado de CA en un ámbito: deshabilita el uso de este certificado para verificar solicitudes en este ámbito. Si no te queda ningún certificado para el ámbito, mTLS queda desactivado en la práctica.

  • Heredar un certificado: si activas un certificado para tu organización, también se activará para todos los proyectos.

¿Te ha resultado útil este artículo?