OpenAI
यह पेज मशीन द्वारा अनुवादित है. मूल अंग्रेज़ी आर्टिकल देखें.

OpenAI म्यूचुअल TLS बीटा प्रोग्राम

अपडेट किया गया: 1 hour ago

OpenAI म्यूचुअल TLS संगठनों को उनके OpenAI API ट्रैफ़िक के लिए सुरक्षा की एक अतिरिक्त परत कॉन्फ़िगर करने की अनुमति देता है। कॉन्फ़िगर होने के बाद, API अनुरोध https://mtls.api.openai.com पर किए जाने चाहिए (या EU डेटा रेज़िडेंसी ग्राहकों के लिए https://mtls-eu.api.openai.com) और ट्रैफ़िक तभी स्वीकार किया जाएगा जब सही API कुंजी और क्लाइंट प्रमाणपत्र दिए गए हों। mTLS https://platform.openai.com डैशबोर्ड पर लागू नहीं होता है। यह सुविधा वर्तमान में बीटा में है।

मैं mTLS इंटीग्रेशन कैसे सेट अप करूं?

सेटिंग्स नेविगेशन बार में आपको “म्यूचुअल TLS” टैब दिखाई देगा।

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

प्रमाणपत्र अपलोड करें

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

प्रमाणपत्र सक्रिय करें

अपना प्रमाणपत्र अपलोड करने के बाद, अगला चरण अपने प्रमाणपत्र को सक्रिय करना है। किसी प्रोजेक्ट के लिए प्रमाणपत्र सक्रिय होने पर, उस प्रोजेक्ट पर जाने वाले सभी API अनुरोधों के लिए संबंधित क्लाइंट प्रमाणपत्र भी आवश्यक होगा। यदि किसी प्रोजेक्ट में कई प्रमाणपत्र सक्रिय हैं, तो आप कोई भी संबंधित क्लाइंट प्रमाणपत्र भेज सकते हैं। यदि संगठन के लिए कोई प्रमाणपत्र सक्रिय है, तो वह सभी API अनुरोधों पर लागू होगा और सभी प्रोजेक्ट उसे “विरासत” में प्राप्त करेंगे।

Image

CA प्रमाणपत्र आवश्यकताएँ

आप PEM फ़ॉर्मैट में कोई भी X.509 CA प्रमाणपत्र अपलोड कर सकते हैं, जो निम्न आवश्यकताओं को पूरा करता हो:

  1. उन क्लाइंट प्रमाणपत्रों पर सीधे हस्ताक्षर करता हो जिनसे आप अनुरोध करने वाले हैं

  2. जिसमें Certificate Authority, Subject Key Identifier, और Authority Key Identifier (KeyIdentifier फ़ॉर्मैट में) एक्सटेंशन हों

  3. जिसमें Key Usage: “Certificate Sign, CRL Sign” अनुमतियाँ हों

  4. जो 1 दिन के भीतर समाप्त होने के लिए सेट न हो

  5. कुल प्रमाणपत्र आकार 16kb से कम होना चाहिए।

क्लाइंट प्रमाणपत्र आवश्यकताएँ

क्लाइंट प्रमाणपत्रों पर आपके द्वारा पहले से अपलोड किए गए प्रमाणपत्रों के द्वारा सीधे हस्ताक्षरित होना चाहिए। फिलहाल, हम वर्तमान में केवल single-length certificate chains का समर्थन करते हैं। इसके अलावा, आपके क्लाइंट प्रमाणपत्रों को निम्न आवश्यकताओं को पूरा करना होगा:

  1. जिसमें Subject Key Identifier और Authority Key Identifier एक्सटेंशन (KeyIdentifier फ़ॉर्मैट में) हों

  2. जिसमें Key Usage: “Digital Signature, Key Encipherment” अनुमतियाँ हों

  3. जिसमें Extended Key Usage: “TLS Web Client Authentication” अनुमति हो

  4. जिसमें Subject Alternate Name एक्सटेंशन हो

अक्सर पूछे जाने वाले सवाल

क्या मैं API के माध्यम से mTLS कॉन्फ़िगर कर सकता हूं?

हाँ — अधिक जानकारी के लिए आप https://platform.openai.com/docs/api-reference/ पर API Reference देख सकते हैं।

कौन से एंडपॉइंट mTLS का समर्थन करते हैं?

इस बीटा अवधि के दौरान, mTLS आधिकारिक रूप से इनमें समर्थित है

  • /v1/chat/completions (सभी समर्थित एक्सटेंशन जैसे image, audio, streaming आदि के साथ)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (server-side web sockets के माध्यम से)

  • /v1/fine_tuning

  • /v1/tunnels

मैं अपने अनुरोध के साथ क्लाइंट प्रमाणपत्र कैसे भेजूं?

cURL अनुरोध के लिए, आप --cert और --key विकल्पों का उपयोग कर सकते हैं (man page यहाँ देखें)। अधिकांश अन्य HTTP क्लाइंट्स में भी क्लाइंट प्रमाणपत्र भेजने के तरीके होते हैं। उदाहरण: Python में requests, js में fetch। हमारे आधिकारिक SDKs के माध्यम से, हम HTTP क्लाइंट को ओवरराइड करने का भी समर्थन करते हैं — Python उदाहरण के लिए यहाँ देखें।

प्रोडक्शन ट्रैफ़िक के लिए mTLS लागू करने से पहले, सुनिश्चित करें कि आपका HTTP क्लाइंट क्लाइंट प्रमाणपत्र अनुरोधों के साथ सही तरह काम करता है (कुछ, जैसे कुछ ब्राउज़रों में WebSockets, ऐसा नहीं करते)। ध्यान दें कि हमारा सर्वर क्लाइंट प्रमाणपत्र अनुरोध में certificate_authorities सूची प्रदान नहीं करता है।

प्रमाणपत्रों तक कौन पहुंच सकता है और उन्हें संशोधित कर सकता है?

https://platform.openai.com/settings/organization/mtls डैशबोर्ड UI के माध्यम से, संगठन के मालिक प्रमाणपत्रों तक पहुंच सकते हैं और उन्हें संशोधित कर सकते हैं। Admin API Key (https://platform.openai.com/settings/organization/admin-keys) वाला कोई भी व्यक्ति प्रमाणपत्रों तक पहुंच/उन्हें संशोधित भी कर सकता है, लेकिन सावधान रहें — यदि आप organization स्तर पर म्यूचुअल TLS सक्रिय करते हैं, तो ये API अनुरोध भी प्रमाणपत्रों के अधीन हो जाएंगे। सभी mTLS परिवर्तन audit logs में दिखाई देते हैं।

मेरे पास कितने प्रमाणपत्र हो सकते हैं?

प्रत्येक संगठन अधिकतम 50 प्रमाणपत्र अपलोड कर सकता है, जिन्हें प्रोजेक्ट्स के बीच साझा किया जा सकता है, लेकिन अन्य संगठनों के साथ नहीं। आप एक बार में 10 प्रोजेक्ट्स के लिए किसी प्रमाणपत्र को atomically सक्रिय/निष्क्रिय कर सकते हैं। वैकल्पिक रूप से, आप अपने संगठन या 1 विशिष्ट प्रोजेक्ट के लिए एक बार में 10 प्रमाणपत्र सक्रिय/निष्क्रिय कर सकते हैं।

क्या मैं प्रमाणपत्रों को अपडेट या हटाया जा सकता है?

आप अपने प्रमाणपत्रों के नाम अपडेट कर सकते हैं, लेकिन उनकी सामग्री नहीं। यदि प्रमाणपत्र वर्तमान में किसी भी स्कोप पर सक्रिय नहीं हैं, तो आप उन्हें हटा भी सकते हैं।

प्रमाणपत्र निरस्तीकरण कैसे काम करता है?

फिलहाल, हम CRLs या OCSP stapling का समर्थन नहीं करते हैं। इसके बजाय सुझाया गया विकल्प है कि आप अपनी API कुंजी को हटा दें या रोटेट करें। आप अपने CA प्रमाणपत्र भी बदल सकते हैं या कम वैधता अवधि वाले क्लाइंट प्रमाणपत्र उपयोग कर सकते हैं।

क्या मैं अधिक लंबी certificate chains का उपयोग कर सकता हूं?

फिलहाल, हम केवल single-length chains का समर्थन करते हैं — यानी आपके CA प्रमाणपत्र को आपके क्लाइंट प्रमाणपत्रों पर सीधे हस्ताक्षर करना चाहिए। यदि आपके और प्रश्न हों, तो कृपया अपने Account Director से संपर्क करें।

अनुशंसित सेटअप क्या है?

इस सुविधा को शुरुआती रूप से सेट अप करते समय, हम ऐसे staging प्रोजेक्ट से शुरू करने की सलाह देते हैं जो आधिकारिक प्रोडक्शन ट्रैफ़िक न संभालता हो। इस अवसर का उपयोग यह सुनिश्चित करने के लिए करें कि आपके प्रमाणपत्र आपकी मशीनों पर ठीक से सेट अप हैं और आप सफलतापूर्वक API ट्रैफ़िक भेज सकते हैं। इसके अलावा, हम आपकी आवश्यकताओं को बेहतर समझने के लिए आपके संगठन की सुरक्षा टीम से परामर्श करने की सलाह देते हैं।

अतिरिक्त सहायता

आप डैशबोर्ड और API के माध्यम से mTLS सुविधा को पूरी तरह स्वयं प्रबंधित कर सकते हैं। हालांकि, यदि आप पहले shadow mode में mTLS सक्षम करना चाहते हैं, तो कृपया अपने Account Director से संपर्क करें या इस पेज के नीचे-दाईं ओर नया चैट शुरू करके सहायता टिकट खोलें।

परिशिष्ट: शब्दावली

  • CA प्रमाणपत्र: आपके विश्वसनीय प्रमाणपत्रों में से एक, जिसने सीधे उन क्लाइंट प्रमाणपत्रों पर हस्ताक्षर किए हैं जिन्हें आप अनुरोधों के साथ भेजेंगे। आप self-signed CA प्रमाणपत्रों का उपयोग कर सकते हैं।

  • प्रमाणपत्र अपलोड करें: अपने खाते में CA प्रमाणपत्र जोड़ना। यह अभी mTLS के लिए कहीं भी लागू नहीं होता है, लेकिन आप इसे कॉन्फ़िगर करना शुरू कर सकते हैं।

  • स्कोप: कोई विशिष्ट प्रोजेक्ट या आपका पूरा संगठन।

  • किसी स्कोप पर CA प्रमाणपत्र सक्रिय करें: उस स्कोप के लिए विशेष रूप से mTLS सक्षम करता है, और सभी API-key आधारित अनुरोधों के लिए CA प्रमाणपत्र द्वारा हस्ताक्षरित क्लाइंट प्रमाणपत्र आवश्यक होगा।

  • किसी स्कोप पर CA प्रमाणपत्र निष्क्रिय करें: इस स्कोप पर अनुरोधों को सत्यापित करने के लिए इस प्रमाणपत्र के उपयोग को अक्षम करता है। यदि उस स्कोप के लिए आपके पास कोई प्रमाणपत्र शेष नहीं है, तो mTLS प्रभावी रूप से बंद हो जाता है।

  • प्रमाणपत्र विरासत में लेना: यदि आप अपने संगठन के लिए कोई प्रमाणपत्र सक्रिय करते हैं, तो वह सभी प्रोजेक्ट्स के लिए भी सक्रिय हो जाएगा।

क्या यह लेख मददगार था?