OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

OpenAI kölcsönös TLS bétaprogram

Frissítve: 13 days ago

Az OpenAI Mutual TLS lehetővé teszi a szervezetek számára, hogy további biztonsági réteget konfiguráljanak az OpenAI API-forgalmukhoz. A konfigurálás után az API-kéréseket a https://mtls.api.openai.com címre (vagy az EU-s adatok tárolási helyét használó ügyfelek esetén a https://mtls-eu.api.openai.com címre) kell küldeni, és a forgalmat csak akkor fogadjuk el, ha a megfelelő API-kulcsot és ügyféltanúsítványt adták meg. Az mTLS nem vonatkozik a https://platform.openai.com irányítópultra. Ez a funkció jelenleg béta állapotban van.

Hogyan állíthatom be az mTLS-integrációt?

A beállítások navigációs sávján megjelenik a „Mutual TLS” lap.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Tanúsítvány feltöltése

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Tanúsítvány aktiválása

A tanúsítvány feltöltése után a következő lépés a tanúsítvány aktiválása. Miután egy tanúsítványt aktivált egy projekthez, az adott projekthez érkező összes API-kéréshez egy megfelelő ügyféltanúsítványra is szükség lesz. Ha egy projekthez több tanúsítvány van aktiválva, bármelyik megfelelő ügyféltanúsítványt megadhatja. Ha egy tanúsítvány a szervezethez van aktiválva, az minden API-kérésre érvényes lesz, és az összes projekt „örökli”.

Image

CA-tanúsítványra vonatkozó követelmények

Bármilyen PEM formátumú X.509 CA-tanúsítványt feltölthet, amely megfelel a következő követelményeknek:

  1. közvetlenül aláírja azokat az ügyféltanúsítványait, amelyekkel kéréseket tervez indítani

  2. rendelkezik a Certificate Authority, Subject Key Identifier és Authority Key Identifier (KeyIdentifier formátumú) kiterjesztésekkel

  3. rendelkezik a Key Usage: „Certificate Sign, CRL Sign” engedélyekkel

  4. nem jár le 1 napon belül

  5. a tanúsítvány teljes méretének 16 kb-nál kisebbnek kell lennie.

Ügyféltanúsítványra vonatkozó követelmények

Az ügyféltanúsítványokat az előzetesen feltöltött tanúsítványoknak kell közvetlenül aláírniuk. Jelenleg csak egyelemű tanúsítványláncokat támogatunk. Ezen kívül az ügyféltanúsítványainak meg kell felelniük a következő követelményeknek:

  1. rendelkezik a Subject Key Identifier és Authority Key Identifier kiterjesztéssel (KeyIdentifier formátumban)

  2. rendelkezik a Key Usage: „Digital Signature, Key Encipherment” engedélyekkel

  3. rendelkezik az Extended Key Usage: „TLS Web Client Authentication” engedéllyel

  4. rendelkezik a Subject Alternate Name kiterjesztéssel

GYIK

Konfigurálhatom az mTLS-t API-n keresztül?

Igen — további információért tekintse meg az API-referenciát itt: https://platform.openai.com/docs/api-reference/.

Mely végpontok támogatják az mTLS-t?

Ebben a bétaidőszakban az mTLS hivatalosan a következőkben támogatott:

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Hogyan küldhetek ügyféltanúsítványokat a kérésemmel?

cURL-kérés esetén használhatja a --cert és --key opciókat (lásd a man oldalt itt). A legtöbb más HTTP-kliensben is vannak módok ügyféltanúsítványok átadására. Példák: requests Pythonban, fetch JavaScriptben. Hivatalos SDK-inkon keresztül a HTTP-kliens felülbírálását is támogatjuk — Python-példáért lásd itt.

Mielőtt éles forgalomnál kikényszerítené az mTLS-t, győződjön meg róla, hogy az Ön által használt HTTP-kliens megfelelően kezeli az ügyféltanúsítvány-kéréseket (egyesek, például bizonyos böngészőkben a WebSocketek, nem). Vegye figyelembe, hogy szerverünk nem ad meg certificate_authorities listát az ügyféltanúsítvány-kérésben.

Ki férhet hozzá a tanúsítványokhoz, és ki módosíthatja őket?

A https://platform.openai.com/settings/organization/mtls irányítópult felhasználói felületén keresztül a szervezet tulajdonosai férhetnek hozzá a tanúsítványokhoz, és módosíthatják őket. Bárki, aki rendelkezik Admin API-kulccsal (https://platform.openai.com/settings/organization/admin-keys), szintén hozzáférhet a tanúsítványokhoz és módosíthatja őket, de legyen óvatos — ha a Mutual TLS-t a szervezet szintjén aktiválja, ezeknél az API-kéréseknél is ki fogja kényszeríteni a tanúsítványokat. Minden mTLS-módosítás látható az auditnaplókban.

Hány tanúsítványom lehet?

Minden szervezet legfeljebb 50 tanúsítványt tölthet fel, amelyek megoszthatók a projektek között, de más szervezetekkel nem. Egyszerre 10 projektnél aktiválhat vagy deaktiválhat atomikusan egy tanúsítványt. Másik lehetőségként egyszerre 10 tanúsítványt aktiválhat vagy deaktiválhat a szervezete vagy 1 konkrét projekt számára.

Frissíthetem vagy törölhetem a tanúsítványokat?

A tanúsítványok nevét frissítheti, de a tartalmukat nem. A tanúsítványokat törölheti is, ha jelenleg egyik hatókörben sem aktívak.

Hogyan működik a tanúsítványok visszavonása?

Jelenleg nem támogatjuk a CRL-eket vagy az OCSP staplinget. Az ajánlott alternatíva az API-kulcs törlése vagy rotálása. Le is cserélheti a CA-tanúsítványait, vagy használhat rövidebb érvényességi idejű ügyféltanúsítványokat.

Használhatok hosszabb tanúsítványláncokat?

Jelenleg csak egyelemű láncokat támogatunk — vagyis a CA-tanúsítványának közvetlenül kell aláírnia az ügyféltanúsítványait. Ha további kérdései vannak, forduljon az Account Directorához.

Mi az ajánlott beállítás?

A funkció kezdeti beállításakor azt javasoljuk, hogy egy olyan előkészítési projekttel kezdjen, amely nem szolgál ki hivatalos éles forgalmat. Használja ki ezt az alkalmat annak ellenőrzésére, hogy a tanúsítványai megfelelően be vannak állítva a gépein, és hogy sikeresen tud API-forgalmat küldeni. Ezen kívül javasoljuk, hogy egyeztessen szervezete biztonsági csapatával, hogy a lehető legjobban megértse az igényeit.

Extra támogatás

Az mTLS-funkciót teljesen önkiszolgáló módon, az irányítópulton és az API-n keresztül kezelheti. Ha azonban először árnyékmódban szeretné engedélyezni az mTLS-t, forduljon az Account Directorához, vagy nyisson támogatási jegyet egy új csevegés indításával az oldal jobb alsó sarkában.

Függelék: Terminológia

  • CA-tanúsítvány: Az egyik megbízható tanúsítványa, amely közvetlenül aláírta azokat az ügyféltanúsítványokat, amelyeket a kérésekkel együtt fog küldeni. Használhat önaláírt CA-tanúsítványokat.

  • Tanúsítvány feltöltése: CA-tanúsítvány hozzáadása a fiókjához. Az mTLS-hez még sehol sem lesz kikényszerítve, de elkezdheti konfigurálni.

  • Hatókör: egy konkrét projekt vagy a teljes szervezete.

  • CA-tanúsítvány aktiválása egy hatókörben: kifejezetten az adott hatókörre engedélyezi az mTLS-t, és minden API-kulcs alapú kéréshez olyan ügyféltanúsítványra lesz szükség, amelyet a CA-tanúsítvány írt alá.

  • CA-tanúsítvány deaktiválása egy hatókörben: letiltja ennek a tanúsítványnak a használatát a kérések ellenőrzésére ebben a hatókörben. Ha az adott hatókörben nem maradt tanúsítványa, az mTLS gyakorlatilag ki van kapcsolva.

  • Tanúsítvány öröklése: Ha aktivál egy tanúsítványt a szervezete számára, az az összes projektnél is aktiválva lesz.

Hasznos volt ez a cikk?