OpenAI
Esta página se tradujo automáticamente. Ver el artículo original en inglés.

Programa beta de Mutual TLS de OpenAI

Actualización: 13 days ago

TLS mutuo de OpenAI permite a las organizaciones configurar una capa de seguridad adicional para su tráfico de la API de OpenAI. Una vez configurado, las solicitudes de API deben realizarse a https://mtls.api.openai.com (o a https://mtls-eu.api.openai.com para clientes con residencia de datos en la UE) y el tráfico solo se aceptará si se proporcionan la clave de API y el certificado de cliente correctos. mTLS no se aplica al panel https://platform.openai.com. Esta función está actualmente en beta.

¿Cómo configuro la integración de mTLS?

En la barra de navegación de configuración, verás una pestaña «TLS mutuo».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Subir certificado

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Activar certificado

Después de subir tu certificado, el siguiente paso es activarlo. Una vez que un certificado esté activado para un proyecto, todas las solicitudes de API dirigidas a ese proyecto empezarán a requerir también un certificado de cliente correspondiente. Si un proyecto tiene varios certificados activados, puedes pasar cualquier certificado de cliente correspondiente. Si un certificado se activa para la organización, se aplicará a todas las solicitudes de API y todos los proyectos lo «heredarán».

Image

Requisitos de los certificados de CA

Puedes subir cualquier certificado de CA X.509 en formato PEM que cumpla los siguientes requisitos:

  1. firma directamente los certificados de cliente con los que tienes previsto realizar solicitudes

  2. tiene las extensiones Certificate Authority, Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  3. tiene los permisos Key Usage: «Certificate Sign, CRL Sign»

  4. no está configurado para caducar en menos de 1 día

  5. el tamaño total del certificado debe ser inferior a 16 KB.

Requisitos de los certificados de cliente

Los certificados de cliente deben estar firmados directamente por los certificados que hayas subido de antemano. Por el momento, solo admitimos cadenas de certificados de un solo nivel. Aparte de esto, tus certificados de cliente deben cumplir los siguientes requisitos:

  1. tiene las extensiones Subject Key Identifier y Authority Key Identifier (en formato KeyIdentifier)

  2. tiene los permisos Key Usage: «Digital Signature, Key Encipherment»

  3. tiene el permiso Extended Key Usage: «TLS Web Client Authentication»

  4. tiene la extensión Subject Alternate Name

Preguntas frecuentes

¿Puedo configurar mTLS mediante la API?

Sí; puedes consultar la referencia de la API en https://platform.openai.com/docs/api-reference/ para obtener más información.

¿Qué puntos de acceso admiten mTLS?

Durante este periodo beta, mTLS se admite oficialmente en

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

¿Cómo envío certificados de cliente con mi solicitud?

Para una solicitud cURL, puedes usar las opciones --cert y --key (consulta la página man aquí). En la mayoría de los demás clientes HTTP, también hay formas de pasar certificados de cliente. Ejemplos: requests en Python, fetch en JS. A través de nuestros SDK oficiales, también admitimos sobrescribir el cliente HTTP; consulta aquí para ver un ejemplo en Python.

Antes de aplicar mTLS al tráfico de producción, asegúrate de que el cliente HTTP que usas se comporte correctamente con las solicitudes de certificado de cliente (algunos, como WebSockets en ciertos navegadores, no lo hacen). Ten en cuenta que nuestro servidor no proporciona una lista de certificate_authorities en la solicitud de certificado de cliente.

¿Quién puede acceder a los certificados y modificarlos?

A través de la interfaz del panel https://platform.openai.com/settings/organization/mtls, los propietarios de la organización pueden acceder a los certificados y modificarlos. Cualquier persona con una clave de API de administrador (https://platform.openai.com/settings/organization/admin-keys) también puede acceder a los certificados o modificarlos, aunque debes tener cuidado: si activas TLS mutuo en el nivel de organización, también exigirás certificados en estas solicitudes de API. Todos los cambios de mTLS son visibles en los registros de auditoría.

¿Cuántos certificados puedo tener?

Cada organización puede subir hasta 50 certificados, que se pueden compartir entre proyectos, pero no con otras organizaciones. Puedes activar/desactivar de forma atómica un certificado para 10 proyectos a la vez. También puedes activar/desactivar 10 certificados a la vez para tu organización o para 1 proyecto específico.

¿Puedo actualizar o eliminar certificados?

Puedes actualizar los nombres de tus certificados, pero no el contenido. También puedes eliminar certificados si no están activos actualmente en ningún ámbito.

¿Cómo funciona la revocación de certificados?

Por el momento, no admitimos CRL ni grapado OCSP. La alternativa recomendada es eliminar o rotar tu clave de API. También puedes sustituir tus certificados de CA o usar certificados de cliente con periodos de validez más cortos.

¿Puedo usar cadenas de certificados más largas?

Por el momento, solo admitimos cadenas de un solo nivel; es decir, tu certificado de CA debe firmar directamente tus certificados de cliente. Ponte en contacto con tu director de cuenta si tienes más preguntas.

¿Cuál es la configuración recomendada?

Al configurar inicialmente esta función, recomendamos empezar con un proyecto de ensayo que no gestione tráfico de producción oficial. Aprovecha esta oportunidad para asegurarte de que tus certificados estén correctamente configurados en tus equipos y de que puedas enviar tráfico de API correctamente. Aparte de esto, recomendamos consultar al equipo de seguridad de tu organización para comprender mejor tus necesidades.

Soporte adicional

Puedes gestionar por completo la función mTLS por tu cuenta desde el panel y la API. Sin embargo, si quieres habilitar mTLS primero en modo sombra, ponte en contacto con tu director de cuenta o abre un ticket de soporte iniciando un nuevo chat en la esquina inferior derecha de esta página.

Apéndice: terminología

  • Certificado de CA: uno de tus certificados de confianza que ha firmado directamente los certificados de cliente que enviarás con las solicitudes. Puedes usar certificados de CA autofirmados.

  • Subir un certificado: añadir un certificado de CA a tu cuenta. Todavía no se aplica en ningún sitio para mTLS, pero puedes empezar a configurarlo.

  • Ámbito: un proyecto específico o toda tu organización.

  • Activar un certificado de CA en un ámbito: habilita mTLS específicamente para ese ámbito, y todas las solicitudes basadas en claves de API deberán incluir un certificado de cliente firmado por el certificado de CA.

  • Desactivar un certificado de CA en un ámbito: deshabilita el uso de este certificado para verificar solicitudes en este ámbito. Si no quedan certificados para el ámbito, mTLS queda efectivamente desactivado.

  • Heredar un certificado: si activas un certificado para tu organización, también se activará para todos los proyectos.

¿Te ha resultado útil este artículo?