OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

OpenAI Mutual TLS -beetaohjelma

Päivitetty: 2 days ago

OpenAI Mutual TLS antaa organisaatioille mahdollisuuden määrittää lisäsuojaustason OpenAI API -liikenteelleen. Kun määritys on tehty, API-pyynnöt tulee lähettää osoitteeseen https://mtls.api.openai.com (tai EU:n tietojen sijaintipaikan asiakkaille osoitteeseen https://mtls-eu.api.openai.com), ja liikenne hyväksytään vain, jos oikea API-avain ja asiakasvarmenne on annettu. mTLS ei koske https://platform.openai.com-koontinäyttöä. Tämä ominaisuus on tällä hetkellä betavaiheessa.

Miten määritän mTLS-integraation?

Asetusten siirtymispalkissa näet ”Mutual TLS” -välilehden.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Lataa varmenne

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktivoi varmenne

Kun olet ladannut varmenteesi, seuraava vaihe on aktivoida varmenteesi. Kun varmenne on aktivoitu projektille, kaikki kyseiseen projektiin menevät API-pyynnöt alkavat vaatia myös vastaavaa asiakasvarmennetta. Jos projektille on aktivoitu useita varmenteita, voit välittää minkä tahansa vastaavan asiakasvarmenteen. Jos varmenne on aktivoitu organisaatiolle, se koskee kaikkia API-pyyntöjä ja ”periytyy” kaikille projekteille.

Image

CA-varmenteen vaatimukset

Voit ladata minkä tahansa PEM-muotoisen X.509 CA-varmenteen, joka täyttää seuraavat vaatimukset:

  1. allekirjoittaa suoraan asiakasvarmenteet, joilla aiot tehdä pyyntöjä

  2. sisältää Certificate Authority-, Subject Key Identifier- ja Authority Key Identifier -laajennukset (KeyIdentifier-muodossa)

  3. sisältää Key Usage: ”Certificate Sign, CRL Sign” -oikeudet

  4. ei vanhene 1 päivän kuluessa

  5. varmenteen kokonaiskoon on oltava alle 16 kt.

Asiakasvarmenteen vaatimukset

Asiakasvarmenteiden on oltava etukäteen lataamiesi varmenteiden suoraan allekirjoittamia. Tällä hetkellä tuemme vain yhden tason varmenneketjuja. Tämän lisäksi asiakasvarmenteidesi on täytettävä seuraavat vaatimukset:

  1. sisältää Subject Key Identifier- ja Authority Key Identifier -laajennuksen (KeyIdentifier-muodossa)

  2. sisältää Key Usage: ”Digital Signature, Key Encipherment” -oikeudet

  3. sisältää Extended Key Usage: ”TLS Web Client Authentication” -oikeuden

  4. sisältää Subject Alternate Name -laajennuksen

Usein kysytyt kysymykset

Voinko määrittää mTLS:n API:n kautta?

Kyllä — lisätietoja on API-viitteessä osoitteessa https://platform.openai.com/docs/api-reference/.

Mitkä endpointit tukevat mTLS:ää?

Tämän betajakson aikana mTLS:ää tuetaan virallisesti seuraavissa:

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Miten lähetän asiakasvarmenteet pyyntöni mukana?

cURL-pyynnössä voit käyttää --cert- ja --key-valitsimia (katso man-sivu täältä). Useimmissa muissakin HTTP-asiakkaissa on tapoja välittää asiakasvarmenteita. Esimerkkejä: requests Pythonissa, fetch JavaScriptissä. Virallisten SDK:idemme kautta tuemme myös HTTP-asiakkaan ohittamista — katso Python-esimerkki täältä.

Ennen kuin pakotat mTLS:n käyttöön tuotantoliikenteessä, varmista, että käyttämäsi HTTP-asiakas toimii hyvin asiakasvarmennepyyntöjen kanssa (jotkin, kuten WebSockets tietyissä selaimissa, eivät toimi). Huomaa, että palvelimemme ei tarjoa certificate_authorities-luetteloa asiakasvarmennepyynnössä.

Kuka voi käyttää ja muokata varmenteita?

https://platform.openai.com/settings/organization/mtls-koontinäyttöliittymän kautta organisaation omistajat voivat käyttää ja muokata varmenteita. Myös kuka tahansa, jolla on Admin API Key (https://platform.openai.com/settings/organization/admin-keys), voi käyttää ja muokata varmenteita, mutta huomaa — jos aktivoit Mutual TLS:n organisaation tasolla, pakotat varmenteet käyttöön myös näissä API-pyynnöissä. Kaikki mTLS-muutokset näkyvät valvontalokeissa.

Kuinka monta varmennetta minulla voi olla?

Kukin organisaatio voi ladata enintään 50 varmennetta, joita voidaan jakaa projektien kesken mutta ei muiden organisaatioiden kanssa. Voit aktivoida tai poistaa varmenteen aktivoinnin atomisesti 10 projektille kerrallaan. Vaihtoehtoisesti voit aktivoida tai poistaa 10 varmenteen aktivoinnin kerrallaan organisaatiossasi tai yhdessä tietyssä projektissa.

Voinko päivittää tai poistaa varmenteita?

Voit päivittää varmenteidesi nimet, mutta et niiden sisältöä. Voit myös poistaa varmenteita, jos ne eivät ole tällä hetkellä aktiivisia missään käyttöalueessa.

Miten varmenteen kumoaminen toimii?

Tällä hetkellä emme tue CRL:iä tai OCSP-staplingia. Suositeltu vaihtoehto on sen sijaan poistaa API-avaimesi tai kierrättää se. Voit myös vaihtaa CA-varmenteesi tai käyttää asiakasvarmenteita, joiden voimassaoloaika on lyhyempi.

Voinko käyttää pidempiä varmenneketjuja?

Tällä hetkellä tuemme vain yhden tason ketjuja — eli CA-varmenteesi tulee allekirjoittaa asiakasvarmenteesi suoraan. Ota yhteyttä Account Directoriisi, jos sinulla on lisäkysymyksiä.

Mikä on suositeltu määritys?

Kun otat tämän ominaisuuden aluksi käyttöön, suosittelemme aloittamaan staging-projektilla, joka ei välitä virallista tuotantoliikennettä. Käytä tätä tilaisuutta varmistaaksesi, että varmenteesi on määritetty oikein koneillasi ja että voit lähettää API-liikennettä onnistuneesti. Tämän lisäksi suosittelemme keskustelemaan organisaatiosi tietoturvatiimin kanssa, jotta ymmärrät tarpeesi parhaiten.

Lisätuki

Voit hallita mTLS-ominaisuutta täysin itse koontinäytön ja API:n kautta. Jos kuitenkin haluat ottaa mTLS:n aluksi käyttöön shadow-tilassa, ota yhteyttä Account Directoriisi tai avaa tukipyyntö aloittamalla uusi keskustelu tämän sivun oikeasta alakulmasta.

Liite: Terminologia

  • CA-varmenne: yksi luotetuista varmenteistasi, joka on allekirjoittanut suoraan asiakasvarmenteet, jotka lähetät pyyntöjen mukana. Voit halutessasi käyttää itse allekirjoitettuja CA-varmenteita.

  • Lataa varmenne: CA-varmenteen lisääminen tilillesi. Sitä ei vielä pakoteta käyttöön missään mTLS:ää varten, mutta voit alkaa määrittää sitä.

  • Käyttöalue: tietty projekti tai koko organisaatiosi.

  • Aktivoi CA-varmenne käyttöalueessa: ottaa mTLS:n käyttöön kyseisessä käyttöalueessa, ja kaikki API-avaimeen perustuvat pyynnöt tarvitsevat asiakasvarmenteen, jonka CA-varmenne on allekirjoittanut.

  • Poista CA-varmenteen aktivointi käyttöalueessa: poistaa tämän varmenteen käytön pyyntöjen tarkistamiseen tässä käyttöalueessa. Jos käyttöalueelle ei ole jäljellä varmenteita, mTLS on käytännössä pois käytöstä.

  • Varmenteen periytyminen: Jos aktivoit varmenteen organisaatiollesi, se aktivoidaan myös kaikille projekteille.

Oliko tästä artikkelista apua?