OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

OpenAI kölcsönös TLS bétaprogram

Frissítve: 12 days ago

Az OpenAI Mutual TLS lehetővé teszi a szervezetek számára, hogy egy további biztonsági réteget állítsanak be az OpenAI API-forgalmukhoz. A beállítás után az API-kéréseket a https://mtls.api.openai.com címre kell küldeni (vagy az https://mtls-eu.api.openai.com címre az EU adatok tárolási helye ügyfelei számára), és a forgalmat csak akkor fogadjuk el, ha a megfelelő API-kulcsot és ügyféltanúsítványt adják meg. Az mTLS nem vonatkozik a https://platform.openai.com irányítópultra. Ez a funkció jelenleg béta állapotban van.

Hogyan állíthatom be az mTLS-integrációt?

A beállítások navigációs sávján megjelenik egy „Mutual TLS” fül.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Tanúsítvány feltöltése

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Tanúsítvány aktiválása

A tanúsítvány feltöltése után a következő lépés a tanúsítvány aktiválása. Ha egy tanúsítványt aktiválnak egy projekthez, az adott projektbe menő összes API-kéréshez ezután a megfelelő ügyféltanúsítvány is szükséges lesz. Ha egy projekthez több aktivált tanúsítvány tartozik, bármelyik megfelelő ügyféltanúsítványt megadhatja. Ha egy tanúsítványt a szervezethez aktiválnak, az minden API-kérésre érvényes lesz, és minden projekt „örökli” azt.

Image

CA-tanúsítványra vonatkozó követelmények

Bármilyen X.509 CA-tanúsítványt feltölthet PEM formátumban, amely megfelel a következő követelményeknek:

  1. közvetlenül aláírja azokat az ügyféltanúsítványokat, amelyekkel kéréseket tervez küldeni

  2. rendelkezik a Certificate Authority, Subject Key Identifier és Authority Key Identifier (KeyIdentifier formátumban) kiterjesztésekkel

  3. rendelkezik a Key Usage: „Certificate Sign, CRL Sign” jogosultságokkal

  4. nincs úgy beállítva, hogy 1 napon belül lejárjon

  5. a tanúsítvány teljes mérete nem lehet nagyobb 16 KB-nál.

Ügyféltanúsítványra vonatkozó követelmények

Az ügyféltanúsítványokat közvetlenül alá kell írniuk az előzetesen feltöltött tanúsítványoknak. Jelenleg csak egyetlen hosszúságú tanúsítványláncokat támogatunk. Ezen kívül az ügyféltanúsítványainak a következő követelményeknek kell megfelelniük:

  1. rendelkezik a Subject Key Identifier és Authority Key Identifier kiterjesztéssel (KeyIdentifier formátumban)

  2. rendelkezik a Key Usage: „Digital Signature, Key Encipherment” jogosultságokkal

  3. rendelkezik az Extended Key Usage: „TLS Web Client Authentication” jogosultsággal

  4. rendelkezik a Subject Alternate Name kiterjesztéssel

GYIK

Beállíthatom az mTLS-t API-n keresztül?

Igen — további információkért tekintse meg az API-referenciát itt: https://platform.openai.com/docs/api-reference/.

Mely végpontok támogatják az mTLS-t?

Ebben a béta időszakban az mTLS hivatalosan a következőkben támogatott:

  • /v1/chat/completions (az összes támogatott kiterjesztéssel, pl. kép, hang, streamelés stb.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (szerveroldali web socketeken keresztül)

  • /v1/fine_tuning

  • /v1/tunnels

Hogyan küldhetek ügyféltanúsítványokat a kérésemmel?

cURL-kérés esetén használhatja a --cert és --key kapcsolókat (lásd a man oldalt itt). A legtöbb más HTTP-kliensben is vannak módok ügyféltanúsítványok átadására. Példák: a pythonos requests, illetve a js-es fetch. Hivatalos SDK-inkban a HTTP-kliens felülbírálását is támogatjuk — Python-példáért lásd itt.

Mielőtt éles forgalomra kikényszerítené az mTLS-t, győződjön meg róla, hogy az Ön által használt HTTP-kliens jól kezeli az ügyféltanúsítvány-kéréseket (egyesek, például bizonyos böngészők WebSocketjei, nem). Vegye figyelembe, hogy szerverünk nem ad meg certificate_authorities listát az ügyféltanúsítvány-kérésben.

Ki férhet hozzá a tanúsítványokhoz, és ki módosíthatja őket?

A https://platform.openai.com/settings/organization/mtls Dashboard felületén a szervezet tulajdonosai férhetnek hozzá a tanúsítványokhoz, és módosíthatják azokat. Bárki, aki rendelkezik Admin API-kulccsal (https://platform.openai.com/settings/organization/admin-keys), szintén hozzáférhet a tanúsítványokhoz és módosíthatja őket, de legyen óvatos — ha a Mutual TLS-t szervezeti szinten aktiválja, ezeket az API-kéréseket is tanúsítványhoz köti. Minden mTLS-módosítás látható az auditnaplókban.

Hány tanúsítványom lehet?

Minden szervezet legfeljebb 50 tanúsítványt tölthet fel, amelyek megoszthatók a projektek között, de más szervezetekkel nem. Egy tanúsítványt egyszerre 10 projektnél aktiválhat vagy deaktiválhat atomikusan. Alternatívaként egyszerre 10 tanúsítványt aktiválhat vagy deaktiválhat a szervezeténél vagy 1 adott projektnél.

Frissíthetem vagy törölhetem a tanúsítványokat?

A tanúsítványok nevét frissítheti, de a tartalmukat nem. A tanúsítványokat akkor is törölheti, ha jelenleg semmilyen hatókörben nem aktívak.

Hogyan működik a tanúsítvány-visszavonás?

Jelenleg nem támogatjuk a CRL-eket vagy az OCSP staplinget. Az ajánlott alternatíva inkább az API-kulcs törlése vagy cseréje. A CA-tanúsítványokat is lecserélheti, vagy rövidebb érvényességi idejű ügyféltanúsítványokat használhat.

Használhatok hosszabb tanúsítványláncokat?

Jelenleg csak egyetlen hosszúságú láncokat támogatunk — vagyis a CA-tanúsítványnak közvetlenül kell aláírnia az ügyféltanúsítványait. Ha további kérdései vannak, forduljon Account Directorához.

Mi az ajánlott beállítás?

A funkció első beállításakor azt javasoljuk, hogy egy olyan staging projekttel kezdjen, amely nem szolgál ki hivatalos éles forgalmat. Használja ki ezt a lehetőséget arra, hogy meggyőződjön róla: a tanúsítványai megfelelően vannak beállítva a gépein, és sikeresen tud API-forgalmat küldeni. Ezen felül javasoljuk, hogy egyeztessen szervezete biztonsági csapatával, hogy a lehető legjobban megértse az igényeit.

További támogatás

Az mTLS funkció teljes mértékben önkiszolgáló módon használható az irányítópulton és az API-n keresztül. Ha azonban először árnyék módban szeretné engedélyezni az mTLS-t, forduljon Account Directorához, vagy nyisson támogatási jegyet egy új chat indításával az oldal jobb alsó sarkában.

Függelék: Terminológia

  • CA-tanúsítvány: az egyik megbízható tanúsítványa, amely közvetlenül aláírta azokat az ügyféltanúsítványokat, amelyeket a kérésekkel küldeni fog. Önaláírt CA-tanúsítványok használata is megengedett.

  • Tanúsítvány feltöltése: egy CA-tanúsítvány hozzáadása a fiókjához. Ezt az mTLS még sehol nem kényszeríti ki, de megkezdheti a beállítását.

  • Hatókör: egy adott projekt vagy az egész szervezete.

  • CA-tanúsítvány aktiválása egy hatókörben: kifejezetten engedélyezi az mTLS-t az adott hatókörben, és minden API-kulcs alapú kéréshez olyan ügyféltanúsítványra lesz szükség, amelyet a CA-tanúsítvány írt alá.

  • CA-tanúsítvány deaktiválása egy hatókörben: letiltja ennek a tanúsítványnak a használatát a kérések ellenőrzésére ebben a hatókörben. Ha a hatókörben egyetlen tanúsítvány sem marad, az mTLS gyakorlatilag ki van kapcsolva.

  • Tanúsítvány öröklése: ha egy tanúsítványt a szervezeténél aktivál, az minden projektnél is aktiválódik.

Hasznos volt ez a cikk?