OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

OpenAI Mutual TLS beta programa

Atnaujinta: 24 days ago

OpenAI Mutual TLS leidžia organizacijoms sukonfigūruoti papildomą saugos sluoksnį savo OpenAI API srautui. Sukonfigūravus, API užklausos turėtų būti siunčiamos į https://mtls.api.openai.com (arba https://mtls-eu.api.openai.com ES duomenų saugojimo vietos klientams), o srautas bus priimamas tik pateikus tinkamą API raktą ir kliento sertifikatą. mTLS netaikoma https://platform.openai.com ataskaitų sričiai. Ši funkcija šiuo metu yra beta versijos.

Kaip nustatyti mTLS integraciją?

Nustatymų naršymo juostoje matysite skirtuką „Abipusis TLS“.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Įkelti sertifikatą

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktyvinti sertifikatą

Įkėlus sertifikatą, kitas veiksmas yra aktyvinti sertifikatą. Kai sertifikatas aktyvinamas projektui, visoms į tą projektą siunčiamoms API užklausoms taip pat pradedamas reikalauti atitinkamas kliento sertifikatas. Jei projektui aktyvinti keli sertifikatai, galite pateikti bet kurį atitinkamą kliento sertifikatą. Jei sertifikatas aktyvintas organizacijai, jis bus taikomas visoms API užklausoms ir bus „paveldėtas“ visų projektų.

Image

CA sertifikato reikalavimai

Galite įkelti bet kurį X.509 CA sertifikatą PEM formatu, atitinkantį šiuos reikalavimus:

  1. tiesiogiai pasirašo jūsų kliento sertifikatus, su kuriais planuojate teikti užklausas

  2. turi plėtinius Certificate Authority, Subject Key Identifier ir Authority Key Identifier (KeyIdentifier formatu)

  3. turi Key Usage: „Certificate Sign, CRL Sign“ teises

  4. jo galiojimas nesibaigia per 1 dieną

  5. bendras sertifikato dydis turi būti mažesnis nei 16 kb.

Kliento sertifikato reikalavimai

Kliento sertifikatai turi būti tiesiogiai pasirašyti sertifikatais, kuriuos iš anksto įkėlėte. Šiuo metu palaikome tik vieno lygio sertifikatų grandines. Be to, jūsų kliento sertifikatai turi atitikti šiuos reikalavimus:

  1. turi plėtinius Subject Key Identifier ir Authority Key Identifier (KeyIdentifier formatu)

  2. turi Key Usage: „Digital Signature, Key Encipherment“ teises

  3. turi Extended Key Usage: „TLS Web Client Authentication“ teisę

  4. turi Subject Alternate Name plėtinį

DUK

Ar galiu konfigūruoti mTLS per API?

Taip — daugiau informacijos rasite API nuorodoje adresu https://platform.openai.com/docs/api-reference/.

Kokie prieigos taškai palaiko mTLS?

Šiuo beta laikotarpiu mTLS oficialiai palaikomas šiuose prieigos taškuose

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Kaip su užklausa siųsti kliento sertifikatus?

cURL užklausoje galite naudoti parinktis --cert ir --key (žr. man puslapį čia). Daugumoje kitų HTTP klientų taip pat yra būdų perduoti kliento sertifikatus. Pavyzdžiai: requests sistemoje „Python“, fetch sistemoje „js“. Naudojant mūsų oficialius SDK, taip pat palaikome HTTP kliento perrašymą — „Python“ pavyzdį žr. čia.

Prieš privalomai taikydami mTLS gamybiniam srautui, įsitikinkite, kad naudojamas HTTP klientas tinkamai veikia su kliento sertifikatų užklausomis (kai kurie, pvz., WebSockets tam tikrose naršyklėse, neveikia). Atkreipkite dėmesį, kad mūsų serveris kliento sertifikato užklausoje nepateikia certificate_authorities sąrašo.

Kas gali pasiekti ir keisti sertifikatus?

Per https://platform.openai.com/settings/organization/mtls ataskaitų srities UI organizacijos savininkai gali pasiekti ir keisti sertifikatus. Bet kas, turintis administratoriaus API raktą (https://platform.openai.com/settings/organization/admin-keys), taip pat gali pasiekti ir keisti sertifikatus, tačiau atminkite — jei aktyvinsite Mutual TLS organizacijos lygiu, šiems API užklausoms taip pat privalomai taikysite sertifikatus. Visi mTLS pakeitimai matomi audito žurnaluose.

Kiek sertifikatų galiu turėti?

Kiekviena organizacija gali įkelti iki 50 sertifikatų, kuriuos galima bendrinti tarp projektų, bet ne su kitomis organizacijomis. Vienu metu galite atomiškai aktyvinti arba deaktyvinti sertifikatą 10 projektų. Arba vienu metu galite aktyvinti arba deaktyvinti 10 sertifikatų savo organizacijoje arba 1 konkrečiame projekte.

Ar galiu atnaujinti arba ištrinti sertifikatus?

Galite atnaujinti savo sertifikatų pavadinimus, bet ne turinį. Taip pat galite ištrinti sertifikatus, jei jie šiuo metu nėra aktyvūs jokioje aprėptyje.

Kaip veikia sertifikatų atšaukimas?

Šiuo metu nepalaikome CRL ar OCSP stapling. Rekomenduojama alternatyva — vietoje to ištrinti arba pakeisti savo API raktą. Taip pat galite pakeisti savo CA sertifikatus arba naudoti kliento sertifikatus su trumpesniu galiojimo laikotarpiu.

Ar galiu naudoti ilgesnes sertifikatų grandines?

Šiuo metu palaikome tik vieno lygio grandines — t. y. jūsų CA sertifikatas turėtų tiesiogiai pasirašyti jūsų kliento sertifikatus. Jei turite daugiau klausimų, susisiekite su savo paskyros vadovu.

Kokia rekomenduojama sąranka?

Pradžioje konfigūruojant šią funkciją rekomenduojame pradėti nuo parengiamojo projekto, kuris neteikia oficialaus gamybinio srauto. Pasinaudokite šia proga įsitikinti, kad jūsų sertifikatai tinkamai nustatyti jūsų įrenginiuose ir kad galite sėkmingai siųsti API srautą. Be to, rekomenduojame pasitarti su savo organizacijos saugos komanda, kad geriausiai suprastumėte savo poreikius.

Papildomas palaikymas

mTLS funkciją galite visiškai savarankiškai valdyti per ataskaitų sritį ir API. Tačiau jei iš pradžių norėtumėte įjungti mTLS šešėliniu režimu, susisiekite su savo paskyros vadovu arba atidarykite pagalbos užklausą pradėdami naują pokalbį šio puslapio apatiniame dešiniajame kampe.

Priedas: terminija

  • CA sertifikatas: vienas iš jūsų patikimų sertifikatų, kuris tiesiogiai pasirašė jūsų kliento sertifikatus, siunčiamus su užklausomis. Galite naudoti savarankiškai pasirašytus CA sertifikatus.

  • Įkelti sertifikatą: CA sertifikato pridėjimas prie jūsų paskyros. Jis dar nėra niekur privalomai taikomas mTLS, bet galite pradėti jį konfigūruoti.

  • Aprėptis: konkretus projektas arba visa jūsų organizacija.

  • Aktyvinti CA sertifikatą aprėptyje: įjungia mTLS būtent tai aprėpčiai, o visoms API raktu pagrįstoms užklausoms reikės kliento sertifikato, pasirašyto CA sertifikatu.

  • Deaktyvinti CA sertifikatą aprėptyje: išjungia šio sertifikato naudojimą užklausoms tikrinti šioje aprėptyje. Jei aprėptyje nelieka sertifikatų, mTLS faktiškai išjungiamas.

  • Sertifikato paveldėjimas: jei aktyvinsite sertifikatą savo organizacijai, jis taip pat bus aktyvintas visuose projektuose.

Ar šis straipsnis buvo naudingas?