OpenAI
Ang page na ito ay isinalin ng AI. Tingnan ang orihinal na artikulo sa English.

OpenAI Mutual TLS Beta Program

Na-update: 27 days ago

Pinapayagan ng OpenAI Mutual TLS ang mga organisasyon na mag-configure ng karagdagang layer ng seguridad para sa kanilang OpenAI API traffic. Kapag na-configure na, dapat gawin ang mga API request sa https://mtls.api.openai.com (o https://mtls-eu.api.openai.com para sa mga customer ng EU Data Residency) at tatanggapin lang ang traffic kung ibinigay ang tamang API key at client certificate. Hindi nalalapat ang mTLS sa Dashboard na https://platform.openai.com. Kasalukuyang nasa beta ang feature na ito.

Paano ko ise-set up ang integrasyon ng mTLS?

Sa navigation bar ng mga setting, makakakita ka ng tab na “Mutual TLS”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Mag-upload ng Sertipiko

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Mag-activate ng Sertipiko

Pagkatapos i-upload ang iyong sertipiko, ang susunod na hakbang ay i-activate ang iyong sertipiko. Kapag na-activate ang isang sertipiko para sa isang proyekto, magsisimula nang mangailangan ng kaukulang client certificate ang lahat ng API request na papunta sa proyektong iyon. Kung maraming sertipiko ang naka-activate sa isang proyekto, maaari kang magpasa ng anumang kaukulang client certificate. Kung na-activate ang isang sertipiko para sa organisasyon, ilalapat ito sa lahat ng API request at “mamamana” ito ng lahat ng proyekto.

Image

Mga kinakailangan sa CA certificate

Maaari kang mag-upload ng anumang X.509 CA certificate sa PEM format na nakakatugon sa mga sumusunod na kinakailangan:

  1. direktang pumipirma sa iyong mga client certificate na plano mong gamitin sa paggawa ng mga request

  2. may mga extension na Certificate Authority, Subject Key Identifier, at Authority Key Identifier (sa KeyIdentifier format)

  3. may mga pahintulot sa Key Usage: “Certificate Sign, CRL Sign

  4. hindi nakatakdang mag-expire sa loob ng 1 araw

  5. dapat mas mababa sa 16kb ang kabuuang laki ng sertipiko.

Mga kinakailangan sa client certificate

Dapat direktang nilagdaan ang mga client certificate ng mga sertipikong na-upload mo nang maaga. Sa ngayon, sinusuportahan lang namin ang mga single-length certificate chain. Bukod dito, dapat matugunan ng iyong mga client certificate ang mga sumusunod na kinakailangan:

  1. may mga extension na Subject Key Identifier at Authority Key Identifier (sa KeyIdentifier format)

  2. may mga pahintulot sa Key Usage: “Digital Signature, Key Encipherment

  3. may pahintulot sa Extended Key Usage: “TLS Web Client Authentication

  4. may extension na Subject Alternate Name

FAQ

Maaari ko bang i-configure ang mTLS sa pamamagitan ng API?

Oo — maaari mong tingnan ang API Reference sa https://platform.openai.com/docs/api-reference/ para sa higit pang impormasyon.

Anong mga endpoint ang sumusuporta sa mTLS?

Sa panahon ng beta na ito, opisyal na sinusuportahan ang mTLS sa

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Paano ako magpapadala ng mga client certificate kasama ng aking request?

Para sa cURL request, maaari mong gamitin ang mga opsyong --cert at --key (tingnan ang man page dito). Sa karamihan ng iba pang HTTP client, mayroon ding mga paraan para magpasa ng mga client certificate. Mga halimbawa: requests sa python, fetch sa js. Sa pamamagitan ng aming mga opisyal na SDK, sinusuportahan din namin ang pag-override sa HTTP client — tingnan dito para sa halimbawa sa Python.

Bago ipatupad ang mTLS para sa production traffic, tiyaking maayos ang paggana ng HTTP client na ginagamit mo sa mga client certificate request (ang ilan, gaya ng WebSockets sa ilang browser, ay hindi). Tandaan na hindi nagbibigay ang aming server ng certificate_authorities listahan sa client certificate request.

Sino ang makaka-access at makakapagbago ng mga sertipiko?

Sa pamamagitan ng Dashboard UI na https://platform.openai.com/settings/organization/mtls, maaaring i-access at baguhin ng mga may-ari ng organisasyon ang mga sertipiko. Maaari ring i-access/baguhin ng sinumang may Admin API Key (https://platform.openai.com/settings/organization/admin-keys) ang mga sertipiko, ngunit mag-ingat — kung ia-activate mo ang Mutual TLS sa antas ng organisasyon, ipapatupad mo rin ang mga sertipiko sa mga API request na ito. Nakikita ang lahat ng pagbabago sa mTLS sa mga audit log.

Ilang sertipiko ang maaari kong magkaroon?

Maaaring mag-upload ang bawat organisasyon ng hanggang 50 sertipiko, na maaaring ibahagi sa mga proyekto ngunit hindi sa ibang organisasyon. Maaari kang atomikong mag-activate/mag-deactivate ng sertipiko para sa 10 proyekto nang sabay-sabay. Bilang alternatibo, maaari kang mag-activate/mag-deactivate ng 10 sertipiko nang sabay-sabay para sa iyong organisasyon o para sa 1 partikular na proyekto.

Maaari ko bang i-update o i-delete ang mga sertipiko?

Maaari mong i-update ang mga pangalan ng iyong mga sertipiko, ngunit hindi ang nilalaman. Maaari mo ring i-delete ang mga sertipiko kung hindi sila kasalukuyang aktibo sa anumang saklaw.

Paano gumagana ang pagbawi ng sertipiko?

Sa ngayon, hindi namin sinusuportahan ang mga CRL o OCSP stapling. Ang inirerekomendang alternatibo ay i-delete o i-rotate na lang ang iyong API key. Maaari mo ring palitan ang iyong mga CA certificate o gumamit ng mga client certificate na may mas maiikling panahon ng bisa.

Maaari ba akong gumamit ng mas mahahabang certificate chain?

Sa ngayon, sinusuportahan lang namin ang mga single-length chain — ibig sabihin, dapat direktang pirmahan ng iyong CA certificate ang iyong mga client certificate. Makipag-ugnayan sa iyong Account Director kung mayroon ka pang mga tanong.

Ano ang inirerekomendang setup?

Kapag paunang sine-set up ang feature na ito, inirerekomenda naming magsimula sa isang staging project na hindi nagseserbisyo ng opisyal na production traffic. Gamitin ang pagkakataong ito para tiyaking maayos ang pagkaka-set up ng iyong mga sertipiko sa iyong mga machine at matagumpay kang makakapagpadala ng API traffic. Bukod dito, inirerekomenda naming kumonsulta sa security team ng iyong organisasyon upang pinakamahusay na maunawaan ang iyong mga pangangailangan.

Karagdagang Suporta

Maaari mong ganap na self-serve na gamitin ang feature na mTLS sa pamamagitan ng dashboard at API. Gayunpaman, kung gusto mo munang i-enable ang mTLS sa shadow mode, makipag-ugnayan sa iyong Account Director o magbukas ng support ticket sa pamamagitan ng pagsisimula ng bagong chat sa kanang ibabang sulok ng pahinang ito.

Apendiks: Terminolohiya

  • CA certificate: Isa sa iyong mga pinagkakatiwalaang sertipiko na direktang pumirma sa iyong mga client certificate na ipapadala mo kasama ng mga request. Maaari kang gumamit ng mga self-signed CA certificate.

  • Mag-upload ng sertipiko: pagdaragdag ng CA certificate sa iyong account. Hindi pa ito ipinapatupad saanman para sa mTLS, ngunit maaari mo na itong simulang i-configure.

  • Saklaw: isang partikular na proyekto o ang iyong buong organisasyon.

  • Mag-activate ng CA certificate sa isang saklaw: ine-enable ang mTLS partikular para sa saklaw na iyon, at mangangailangan ang lahat ng request na batay sa API key ng client certificate na nilagdaan ng CA certificate.

  • Mag-deactivate ng CA certificate sa isang saklaw: hindi pinapagana ang paggamit ng sertipikong ito upang i-verify ang mga request sa saklaw na ito. Kung wala ka nang natitirang sertipiko para sa saklaw, epektibong naka-off ang mTLS.

  • Pagmamana ng sertipiko: Kung mag-a-activate ka ng sertipiko para sa iyong organisasyon, maa-activate din ito para sa lahat ng proyekto.

Nakatulong ba ang artikulong ito?