OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

OpenAI Mutual TLS-betaprogram

Oppdatert: 12 days ago

OpenAI Mutual TLS lar organisasjoner konfigurere et ekstra sikkerhetslag for OpenAI API-trafikken sin. Når det er konfigurert, skal API-forespørsler sendes til https://mtls.api.openai.com (eller https://mtls-eu.api.openai.com for kunder med EU-dataresidens), og trafikk godtas bare hvis riktig API-nøkkel og klientsertifikat oppgis. mTLS gjelder ikke for https://platform.openai.com-dashbordet. Denne funksjonen er for øyeblikket i beta.

Hvordan setter jeg opp mTLS-integrasjonen?

I innstillingsnavigasjonen ser du fanen «Mutual TLS».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Last opp sertifikat

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktiver sertifikat

Etter at du har lastet opp sertifikatet ditt, er neste steg å aktivere sertifikatet. Når et sertifikat er aktivert for et prosjekt, vil alle API-forespørsler til det prosjektet også kreve et tilsvarende klientsertifikat. Hvis et prosjekt har flere aktiverte sertifikater, kan du sende med et hvilket som helst tilsvarende klientsertifikat. Hvis et sertifikat er aktivert for organisasjonen, gjelder det for alle API-forespørsler og «arves» av alle prosjekter.

Image

Krav til CA-sertifikat

Du kan laste opp et hvilket som helst X.509-CA-sertifikat i PEM-format som oppfyller følgende krav:

  1. signerer direkte klientsertifikatene du planlegger å sende forespørsler med

  2. har utvidelsene Certificate Authority, Subject Key Identifier og Authority Key Identifier (i KeyIdentifier-format)

  3. har Key Usage-tillatelsene: «Certificate Sign, CRL Sign»

  4. er ikke satt til å utløpe innen 1 dag

  5. total sertifikatstørrelse må være under 16 kb.

Krav til klientsertifikat

Klientsertifikater må være direkte signert av sertifikatene du lastet opp på forhånd. For øyeblikket støtter vi bare sertifikatkjeder med ett ledd. I tillegg til dette må klientsertifikatene dine oppfylle følgende krav:

  1. har utvidelsene Subject Key Identifier og Authority Key Identifier (i KeyIdentifier-format)

  2. har Key Usage-tillatelsene: «Digital Signature, Key Encipherment»

  3. har Extended Key Usage-tillatelsen: «TLS Web Client Authentication»

  4. har Subject Alternative Name-utvidelsen

Vanlige spørsmål

Kan jeg konfigurere mTLS via API?

Ja — du finner mer informasjon i API-referansen på https://platform.openai.com/docs/api-reference/.

Hvilke endepunkter støtter mTLS?

I denne betaperioden støttes mTLS offisielt i

  • /v1/chat/completions (med alle støttede utvidelser, f.eks. bilde, lyd, strømming osv.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via web sockets på serversiden)

  • /v1/fine_tuning

  • /v1/tunnels

Hvordan sender jeg klientsertifikater med forespørselen min?

For en cURL-forespørsel kan du bruke alternativene --cert og --key (se manualsiden her). I de fleste andre HTTP-klienter finnes det også måter å sende med klientsertifikater på. Eksempler: requests i Python, fetch i js. Gjennom våre offisielle SDK-er støtter vi også overstyring av HTTP-klienten — se et Python-eksempel her.

Før du håndhever mTLS for produksjonstrafikk, må du sørge for at HTTP-klienten du bruker, håndterer forespørsler om klientsertifikater godt (noen gjør ikke det, for eksempel WebSockets i visse nettlesere). Merk at serveren vår ikke oppgir en certificate_authorities-liste i forespørselen om klientsertifikat.

Hvem kan få tilgang til og endre sertifikater?

Gjennom dashbordgrensesnittet på https://platform.openai.com/settings/organization/mtls kan organisasjonens eiere få tilgang til og endre sertifikater. Alle med en Admin API Key (https://platform.openai.com/settings/organization/admin-keys) kan også få tilgang til og endre sertifikater, men vær oppmerksom på at hvis du aktiverer Mutual TLS på organisasjonsnivå, vil du også håndheve sertifikater på disse API-forespørslene. Alle mTLS-endringer er synlige i revisjonslogger.

Hvor mange sertifikater kan jeg ha?

Hver organisasjon kan laste opp opptil 50 sertifikater, som kan deles på tvers av prosjekter, men ikke med andre organisasjoner. Du kan atomisk aktivere/deaktivere et sertifikat for 10 prosjekter om gangen. Alternativt kan du aktivere/deaktivere 10 sertifikater om gangen for organisasjonen din eller for 1 spesifikt prosjekt.

Kan jeg oppdatere eller slette sertifikater?

Du kan oppdatere navnene på sertifikatene dine, men ikke innholdet. Du kan også slette sertifikater hvis de ikke er aktive i noe omfang for øyeblikket.

Hvordan fungerer tilbakekalling av sertifikater?

For øyeblikket støtter vi ikke CRL-er eller OCSP-stapling. Det anbefalte alternativet er å slette eller rotere API-nøkkelen din i stedet. Du kan også bytte ut CA-sertifikatene dine eller bruke klientsertifikater med kortere gyldighetsperioder.

Kan jeg bruke lengre sertifikatkjeder?

For øyeblikket støtter vi bare kjeder med ett ledd — det vil si at CA-sertifikatet ditt skal signere klientsertifikatene dine direkte. Ta kontakt med Account Director hvis du har flere spørsmål.

Hva er det anbefalte oppsettet?

Når du setter opp denne funksjonen første gang, anbefaler vi å starte med et staging-prosjekt som ikke håndterer offisiell produksjonstrafikk. Bruk denne muligheten til å forsikre deg om at sertifikatene dine er riktig satt opp på maskinene dine, og at du kan sende API-trafikk uten problemer. I tillegg anbefaler vi at du rådfører deg med organisasjonens sikkerhetsteam for å forstå behovene deres best mulig.

Ekstra støtte

Du kan bruke mTLS-funksjonen helt på egen hånd via dashbordet og API-et. Hvis du derimot ønsker å aktivere mTLS i en skyggemodus først, kan du kontakte Account Director eller åpne en supportsak ved å starte en ny chat nederst til høyre på denne siden.

Vedlegg: Terminologi

  • CA-sertifikat: Et av de betrodde sertifikatene dine som har signert klientsertifikatene du sender med forespørsler direkte. Du kan gjerne bruke selvsignerte CA-sertifikater.

  • Last opp et sertifikat: legge til et CA-sertifikat i kontoen din. Det håndheves ennå ikke noe sted for mTLS, men du kan begynne å konfigurere det.

  • Omfang: et bestemt prosjekt eller hele organisasjonen din.

  • Aktiver et CA-sertifikat i et omfang: aktiverer mTLS spesifikt for det omfanget, og alle API-nøkkelbaserte forespørsler må også kreve et klientsertifikat som er signert av CA-sertifikatet.

  • Deaktiver et CA-sertifikat i et omfang: deaktiverer bruken av dette sertifikatet for å verifisere forespørsler i dette omfanget. Hvis du ikke har noen sertifikater igjen for omfanget, er mTLS i praksis slått av.

  • Arve et sertifikat: Hvis du aktiverer et sertifikat for organisasjonen din, aktiveres det også for alle prosjekter.

Var denne artikkelen nyttig?