OpenAI
यह पेज मशीन द्वारा अनुवादित है. मूल अंग्रेज़ी आर्टिकल देखें.

OpenAI म्यूचुअल TLS बीटा प्रोग्राम

अपडेट किया गया: 15 days ago

OpenAI Mutual TLS संगठनों को उनके OpenAI API ट्रैफ़िक के लिए सुरक्षा की एक अतिरिक्त परत कॉन्फ़िगर करने देता है. कॉन्फ़िगर होने के बाद, API अनुरोध https://mtls.api.openai.com (या EU डेटा रेज़िडेंसी ग्राहकों के लिए https://mtls-eu.api.openai.com) पर किए जाने चाहिए और ट्रैफ़िक केवल तभी स्वीकार किया जाएगा जब सही API key और क्लाइंट प्रमाणपत्र प्रदान किए जाएं. mTLS https://platform.openai.com Dashboard पर लागू नहीं होता है. यह सुविधा वर्तमान में बीटा में है.

मैं mTLS इंटीग्रेशन कैसे सेट अप करूं?

सेटिंग्स नेविगेशन बार पर, आपको “Mutual TLS” टैब दिखाई देगा.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

प्रमाणपत्र अपलोड करें

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

प्रमाणपत्र सक्रिय करें

अपना प्रमाणपत्र अपलोड करने के बाद, अगला कदम अपने प्रमाणपत्र को सक्रिय करना है. किसी प्रोजेक्ट के लिए प्रमाणपत्र सक्रिय होने के बाद, उस प्रोजेक्ट पर जाने वाले सभी API अनुरोधों के लिए संबंधित क्लाइंट प्रमाणपत्र भी आवश्यक होने लगेगा. अगर किसी प्रोजेक्ट में कई प्रमाणपत्र सक्रिय हैं, तो आप कोई भी संबंधित क्लाइंट प्रमाणपत्र पास कर सकते हैं. अगर संगठन के लिए कोई प्रमाणपत्र सक्रिय है, तो वह सभी API अनुरोधों पर लागू होगा और सभी प्रोजेक्ट्स द्वारा “इनहेरिट” किया जाएगा.

Image

CA प्रमाणपत्र आवश्यकताएं

आप PEM फ़ॉर्मैट में कोई भी X.509 CA प्रमाणपत्र अपलोड कर सकते हैं जो इन आवश्यकताओं को पूरा करता हो:

  1. उन क्लाइंट प्रमाणपत्रों पर सीधे हस्ताक्षर करता है जिनसे आप अनुरोध करने की योजना बना रहे हैं

  2. इसमें Certificate Authority, Subject Key Identifier, और Authority Key Identifier (KeyIdentifier फ़ॉर्मैट में) एक्सटेंशन हैं

  3. इसमें Key Usage: “Certificate Sign, CRL Sign” अनुमतियां हैं

  4. 1 दिन के भीतर एक्सपायर होने के लिए सेट नहीं है

  5. कुल प्रमाणपत्र आकार 16kb से कम होना चाहिए.

क्लाइंट प्रमाणपत्र आवश्यकताएं

क्लाइंट प्रमाणपत्र उन प्रमाणपत्रों द्वारा सीधे हस्ताक्षरित होने चाहिए जिन्हें आपने पहले से अपलोड किया है. फिलहाल, हम वर्तमान में केवल सिंगल-लेंथ प्रमाणपत्र शृंखलाओं का समर्थन करते हैं. इसके अलावा, आपके क्लाइंट प्रमाणपत्रों को इन आवश्यकताओं को पूरा करना होगा:

  1. इसमें Subject Key Identifier और Authority Key Identifier एक्सटेंशन (KeyIdentifier फ़ॉर्मैट में) है

  2. इसमें Key Usage: “Digital Signature, Key Encipherment” अनुमतियां हैं

  3. इसमें Extended Key Usage: “TLS Web Client Authentication” अनुमति है

  4. इसमें Subject Alternate Name एक्सटेंशन है

अक्सर पूछे जाने वाले प्रश्न

क्या मैं API के ज़रिए mTLS कॉन्फ़िगर कर सकता हूं?

हां — अधिक जानकारी के लिए आप API Reference https://platform.openai.com/docs/api-reference/ पर देख सकते हैं.

कौन से एंडपॉइंट mTLS का समर्थन करते हैं?

इस बीटा अवधि के दौरान, mTLS आधिकारिक तौर पर इनमें समर्थित है

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

मैं अपने अनुरोध के साथ क्लाइंट प्रमाणपत्र कैसे भेजूं?

cURL अनुरोध के लिए, आप --cert और --key विकल्पों का उपयोग कर सकते हैं (man पेज यहां देखें). अधिकांश अन्य HTTP क्लाइंट्स में भी क्लाइंट प्रमाणपत्र पास करने के तरीके होते हैं. उदाहरण: Python में requests, JS में fetch. हमारे आधिकारिक SDKs के ज़रिए, हम HTTP क्लाइंट को ओवरराइड करने का भी समर्थन करते हैं — Python उदाहरण के लिए यहां देखें.

प्रोडक्शन ट्रैफ़िक के लिए mTLS लागू करने से पहले, सुनिश्चित करें कि आप जिस HTTP क्लाइंट का उपयोग कर रहे हैं वह क्लाइंट प्रमाणपत्र अनुरोधों के साथ सही तरह व्यवहार करता है (कुछ, जैसे कुछ ब्राउज़रों में WebSockets, ऐसा नहीं करते). ध्यान दें कि हमारा सर्वर क्लाइंट प्रमाणपत्र अनुरोध में certificate_authorities सूची प्रदान नहीं करता है.

प्रमाणपत्रों तक कौन पहुंच सकता है और उन्हें संशोधित कर सकता है?

https://platform.openai.com/settings/organization/mtls Dashboard UI के ज़रिए, संगठन के owners प्रमाणपत्रों तक पहुंच सकते हैं और उन्हें संशोधित कर सकते हैं. Admin API Key (https://platform.openai.com/settings/organization/admin-keys) वाला कोई भी व्यक्ति प्रमाणपत्रों तक पहुंच/संशोधन कर सकता है, हालांकि सावधान रहें — अगर आप संगठन स्तर पर Mutual TLS सक्रिय करते हैं, तो आप इन API अनुरोधों पर भी प्रमाणपत्र लागू करेंगे. सभी mTLS बदलाव audit logs में दिखाई देते हैं.

मेरे पास कितने प्रमाणपत्र हो सकते हैं?

हर संगठन अधिकतम 50 प्रमाणपत्र अपलोड कर सकता है, जिन्हें प्रोजेक्ट्स में साझा किया जा सकता है, लेकिन अन्य संगठनों के साथ नहीं. आप एक समय में 10 प्रोजेक्ट्स के लिए किसी प्रमाणपत्र को परमाण्विक रूप से सक्रिय/निष्क्रिय कर सकते हैं. वैकल्पिक रूप से, आप अपने संगठन के लिए या 1 विशिष्ट प्रोजेक्ट के लिए एक समय में 10 प्रमाणपत्र सक्रिय/निष्क्रिय कर सकते हैं.

क्या मैं प्रमाणपत्र अपडेट या डिलीट कर सकता हूं?

आप अपने प्रमाणपत्रों के नाम अपडेट कर सकते हैं, लेकिन सामग्री नहीं. अगर प्रमाणपत्र वर्तमान में किसी भी स्कोप पर सक्रिय नहीं हैं, तो आप उन्हें डिलीट भी कर सकते हैं.

प्रमाणपत्र निरस्तीकरण कैसे काम करता है?

फिलहाल, हम CRLs या OCSP stapling का समर्थन नहीं करते हैं. अनुशंसित विकल्प इसके बजाय अपनी API key को डिलीट करना या रोटेट करना है. आप अपने CA प्रमाणपत्रों को बदल भी सकते हैं या कम वैधता अवधि वाले क्लाइंट प्रमाणपत्रों का उपयोग कर सकते हैं.

क्या मैं अधिक लंबाई वाली प्रमाणपत्र शृंखलाओं का उपयोग कर सकता हूं?

फिलहाल, हम केवल सिंगल-लेंथ शृंखलाओं का समर्थन करते हैं — यानी आपके CA प्रमाणपत्र को आपके क्लाइंट प्रमाणपत्रों पर सीधे हस्ताक्षर करना चाहिए. अगर आपके और प्रश्न हैं, तो कृपया अपने Account Director से संपर्क करें.

अनुशंसित सेटअप क्या है?

इस सुविधा को पहली बार सेट अप करते समय, हम ऐसे स्टेजिंग प्रोजेक्ट से शुरुआत करने की सलाह देते हैं जो आधिकारिक प्रोडक्शन ट्रैफ़िक सर्व न करता हो. इस अवसर का उपयोग यह सुनिश्चित करने के लिए करें कि आपके प्रमाणपत्र आपकी मशीनों पर ठीक से सेट अप हैं और आप API ट्रैफ़िक सफलतापूर्वक भेज सकते हैं. इसके अलावा, हम आपकी ज़रूरतों को सबसे अच्छी तरह समझने के लिए आपके संगठन की सुरक्षा टीम से परामर्श करने की सलाह देते हैं.

अतिरिक्त सहायता

आप डैशबोर्ड और API के ज़रिए mTLS सुविधा को पूरी तरह सेल्फ़-सर्व कर सकते हैं. हालांकि, अगर आप शुरुआत में mTLS को शैडो मोड में सक्षम करना चाहते हैं, तो कृपया अपने Account Director से संपर्क करें या इस पेज के नीचे-दाएं कोने में नई चैट शुरू करके सपोर्ट टिकट खोलें.

परिशिष्ट: शब्दावली

  • CA प्रमाणपत्र: आपके विश्वसनीय प्रमाणपत्रों में से एक, जिसने उन क्लाइंट प्रमाणपत्रों पर सीधे हस्ताक्षर किए हैं जिन्हें आप अनुरोधों के साथ भेजेंगे. आप self-signed CA प्रमाणपत्रों का उपयोग कर सकते हैं.

  • प्रमाणपत्र अपलोड करें: आपके खाते में CA प्रमाणपत्र जोड़ना. इसे अभी mTLS के लिए कहीं भी लागू नहीं किया जाता है, लेकिन आप इसे कॉन्फ़िगर करना शुरू कर सकते हैं.

  • स्कोप: कोई विशिष्ट प्रोजेक्ट या आपका पूरा संगठन.

  • किसी स्कोप पर CA प्रमाणपत्र सक्रिय करें: उस स्कोप के लिए विशेष रूप से mTLS सक्षम करता है, और सभी API-key आधारित अनुरोधों के लिए ऐसा क्लाइंट प्रमाणपत्र आवश्यक होगा जिस पर CA प्रमाणपत्र ने हस्ताक्षर किए हों.

  • किसी स्कोप पर CA प्रमाणपत्र निष्क्रिय करें: इस स्कोप पर अनुरोधों को सत्यापित करने के लिए इस प्रमाणपत्र के उपयोग को अक्षम करता है. अगर स्कोप के लिए कोई प्रमाणपत्र नहीं बचा है, तो mTLS प्रभावी रूप से बंद हो जाता है.

  • प्रमाणपत्र इनहेरिट करना: अगर आप अपने संगठन के लिए कोई प्रमाणपत्र सक्रिय करते हैं, तो वह सभी प्रोजेक्ट्स के लिए भी सक्रिय हो जाएगा.

क्या यह लेख मददगार था?