OpenAI
Kaca iki diterjemahake nganggo mesin. Deleng artikel asli basa Inggris.

Program Beta Mutual TLS OpenAI

Pembaruan: 28 days ago

OpenAI Mutual TLS ngidini organisasi ngonfigurasi lapisan keamanan tambahan kanggo lalu lintas OpenAI API. Sawise dikonfigurasi, panjaluk API kudu digawe menyang https://mtls.api.openai.com (utawa https://mtls-eu.api.openai.com kanggo pelanggan Domisili Data EU) lan lalu lintas mung bakal ditampa yen kunci API lan sertifikat klien sing bener diwenehake. mTLS ora ditrapake kanggo Dasbor https://platform.openai.com. Fitur iki saiki ana ing beta.

Kepiye carane nyiyapake integrasi mTLS?

Ing bilah navigasi setelan, sampeyan bakal weruh tab “Mutual TLS”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Unggah Sertifikat

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktifake Sertifikat

Sawise ngunggah sertifikat sampeyan, langkah sabanjure yaiku ngaktifake sertifikat sampeyan. Sawise sertifikat diaktifake kanggo proyek, kabeh panjaluk API sing menyang proyek kasebut bakal wiwit mbutuhake sertifikat klien sing cocog uga. Yen proyek duwe pirang-pirang sertifikat sing diaktifake, sampeyan bisa nerusake sertifikat klien apa wae sing cocog. Yen sertifikat diaktifake kanggo organisasi, iki bakal ditrapake kanggo kabeh panjaluk API lan “diwarisi” dening kabeh proyek.

Image

Syarat sertifikat CA

Sampeyan bisa ngunggah sertifikat CA X.509 apa wae ing format PEM sing nyukupi syarat ing ngisor iki:

  1. langsung nandatangani sertifikat klien sing arep sampeyan gunakake kanggo nggawe panjaluk

  2. nduweni ekstensi Certificate Authority, Subject Key Identifier, lan Authority Key Identifier (ing format KeyIdentifier)

  3. nduweni idin Key Usage: “Certificate Sign, CRL Sign

  4. ora disetel bakal kadaluwarsa sajrone 1 dina

  5. ukuran total sertifikat kudu kurang saka 16kb.

Syarat sertifikat klien

Sertifikat klien kudu langsung ditandatangani dening sertifikat sing wis sampeyan unggah sadurunge. Saiki, kita mung ndhukung rantai sertifikat dawa siji. Kajaba saka iki, sertifikat klien sampeyan kudu nyukupi syarat ing ngisor iki:

  1. nduweni ekstensi Subject Key Identifier lan Authority Key Identifier (ing format KeyIdentifier)

  2. nduweni idin Key Usage: “Digital Signature, Key Encipherment

  3. nduweni idin Extended Key Usage: “TLS Web Client Authentication

  4. nduweni ekstensi Subject Alternate Name

FAQ

Apa aku bisa ngonfigurasi mTLS liwat API?

Ya — sampeyan bisa ndeleng Referensi API ing https://platform.openai.com/docs/api-reference/ kanggo informasi luwih lengkap.

Titik pungkasan apa sing ndhukung mTLS?

Sajrone periode beta iki, mTLS resmi didhukung ing

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Kepiye carane ngirim sertifikat klien karo panjalukku?

Kanggo panjaluk cURL, sampeyan bisa nggunakake opsi --cert lan --key (deleng kaca manual ing kene). Ing umume klien HTTP liyane, uga ana cara kanggo nerusake sertifikat klien. Conto: requests ing python, fetch ing js. Liwat SDK resmi kita, kita uga ndhukung ngganti klien HTTP — deleng ing kene kanggo conto Python.

Sadurunge ngetrapake mTLS kanggo lalu lintas produksi, pesthekake yen klien HTTP sing sampeyan gunakake tumindak kanthi apik karo panjaluk sertifikat klien (sawetara, kayata WebSockets ing browser tartamtu, ora kaya ngono). Elinga yen server kita ora nyedhiyakake dhaptar certificate_authorities ing panjaluk sertifikat klien.

Sapa sing bisa ngakses lan ngowahi sertifikat?

Liwat UI Dasbor https://platform.openai.com/settings/organization/mtls, pamilik organisasi bisa ngakses lan ngowahi sertifikat. Sapa wae sing duwe Kunci API Admin (https://platform.openai.com/settings/organization/admin-keys) uga bisa ngakses/ngowahi sertifikat, nanging ati-ati — yen sampeyan ngaktifake Mutual TLS ing tingkat organisasi, sampeyan uga bakal ngetrapake sertifikat ing panjaluk API iki. Kabeh owah-owahan mTLS katon ing log audit.

Pira sertifikat sing bisa sampeyan duweni?

Saben organisasi bisa ngunggah nganti 50 sertifikat, sing bisa dienggo bareng ing antarane proyek nanging ora karo organisasi liyane. Sampeyan bisa ngaktifake/nonaktifake sertifikat kanthi atomik kanggo 10 proyek sekaligus. Utawa, sampeyan bisa ngaktifake/nonaktifake 10 sertifikat sekaligus kanggo organisasi sampeyan utawa kanggo 1 proyek tartamtu.

Apa aku bisa nganyari utawa mbusak sertifikat?

Sampeyan bisa nganyari jeneng sertifikat sampeyan, nanging ora isine. Sampeyan uga bisa mbusak sertifikat yen saiki ora aktif ing cakupan apa wae.

Kepiye cara kerja pencabutan sertifikat?

Saiki, kita ora ndhukung CRL utawa OCSP stapling. Alternatif sing disaranake yaiku mbusak utawa muter kunci API sampeyan. Sampeyan uga bisa ngganti sertifikat CA sampeyan utawa nggunakake sertifikat klien kanthi periode validitas sing luwih cekak.

Apa aku bisa nggunakake rantai sertifikat sing luwih dawa?

Saiki, kita mung ndhukung rantai dawa siji — yaiku sertifikat CA sampeyan kudu langsung nandatangani sertifikat klien sampeyan. Mangga hubungi Account Director sampeyan yen ana pitakon luwih lanjut.

Apa persiyapan sing disaranake?

Nalika pisanan nyiyapake fitur iki, kita nyaranake miwiti nganggo proyek staging sing ora nglayani lalu lintas produksi resmi. Gunakake kesempatan iki kanggo mesthekake yen sertifikat sampeyan wis disetel kanthi bener ing mesin sampeyan lan sampeyan bisa ngirim lalu lintas API kanthi kasil. Kajaba saka iki, kita nyaranake konsultasi karo tim keamanan organisasi sampeyan supaya luwih ngerti kabutuhan sampeyan.

Dhukungan Tambahan

Sampeyan bisa ngatur fitur mTLS kanthi mandiri liwat dasbor lan API. Nanging, yen sampeyan pengin ngaktifake mTLS ing mode bayangan dhisik, mangga hubungi Account Director sampeyan utawa bukak tiket dhukungan kanthi miwiti obrolan anyar ing pojok tengen ngisor kaca iki.

Lampiran: Terminologi

  • Sertifikat CA: Salah siji sertifikat tepercaya sampeyan sing wis langsung nandatangani sertifikat klien sing bakal sampeyan kirim karo panjaluk. Sampeyan bisa nggunakake sertifikat CA sing ditandatangani dhewe.

  • Ngunggah sertifikat: nambahake sertifikat CA menyang akun sampeyan. Iki durung ditrapake ing endi wae kanggo mTLS, nanging sampeyan bisa miwiti ngonfigurasi.

  • Cakupan: proyek tartamtu utawa kabeh organisasi sampeyan.

  • Ngaktifake sertifikat CA ing sawijining cakupan: ngaktifake mTLS khusus kanggo cakupan kasebut, lan kabeh panjaluk adhedhasar kunci API bakal perlu mbutuhake sertifikat klien sing ditandatangani dening sertifikat CA kasebut.

  • Nonaktifake sertifikat CA ing sawijining cakupan: mateni panggunaan sertifikat iki kanggo verifikasi panjaluk ing cakupan iki. Yen ora ana sertifikat sing isih ana kanggo cakupan kasebut, mTLS kanthi efektif dipateni.

  • Marisi sertifikat: Yen sampeyan ngaktifake sertifikat kanggo organisasi sampeyan, sertifikat kasebut uga bakal diaktifake kanggo kabeh proyek.

Apa artikel iki migunani kanggo sampeyan?