OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Programul beta OpenAI Mutual TLS

Actualizat: 4 days ago

Mutual TLS de la OpenAI permite organizațiilor să configureze un nivel suplimentar de securitate pentru traficul lor OpenAI API. După configurare, cererile API trebuie trimise la https://mtls.api.openai.com (sau la https://mtls-eu.api.openai.com pentru clienții cu rezidența datelor în UE), iar traficul va fi acceptat doar dacă sunt furnizate cheia API corectă și certificatul de client. mTLS nu se aplică tabloului de bord https://platform.openai.com. Această funcție este în prezent în versiune beta.

Cum configurez integrarea mTLS?

În bara de navigare a setărilor, vei vedea o filă „Mutual TLS”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Încărcați certificatul

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Activați certificatul

După încărcarea certificatului, următorul pas este să îți activezi certificatul. Odată ce un certificat este activat pentru un proiect, toate cererile API către acel proiect vor necesita și un certificat de client corespunzător. Dacă un proiect are activate mai multe certificate, poți trimite orice certificat de client corespunzător. Dacă un certificat este activat pentru organizație, se va aplica la toate cererile API și este „moștenit” de toate proiectele.

Image

Cerințe pentru certificatele CA

Poți încărca orice certificat CA X.509 în format PEM care îndeplinește următoarele cerințe:

  1. semnează direct certificatele tale de client cu care intenționezi să faci cereri

  2. are extensiile Certificate Authority, Subject Key Identifier și Authority Key Identifier (în format KeyIdentifier)

  3. are permisiunile Key Usage: „Certificate Sign, CRL Sign

  4. nu este setat să expire în mai puțin de 1 zi

  5. dimensiunea totală a certificatului trebuie să fie sub 16 kb.

Cerințe pentru certificatele de client

Certificatele de client trebuie să fie semnate direct de certificatele pe care le-ai încărcat în prealabil. În acest moment, acceptăm doar lanțuri de certificate cu o singură lungime. În plus, certificatele tale de client trebuie să îndeplinească următoarele cerințe:

  1. are extensiile Subject Key Identifier și Authority Key Identifier (în format KeyIdentifier)

  2. are permisiunile Key Usage: „Digital Signature, Key Encipherment

  3. are permisiunea Extended Key Usage: „TLS Web Client Authentication

  4. are extensia Subject Alternate Name

Întrebări frecvente

Pot configura mTLS prin API?

Da — poți consulta Referința API la https://platform.openai.com/docs/api-reference/ pentru mai multe informații.

Ce puncte finale acceptă mTLS?

În această perioadă beta, mTLS este acceptat oficial în

  • /v1/chat/completions (cu toate extensiile acceptate, ex. imagine, audio, streaming etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (prin WebSocket-uri pe partea de server)

  • /v1/fine_tuning

  • /v1/tunnels

Cum trimit certificatele de client împreună cu cererea mea?

Pentru o cerere cURL, poți folosi opțiunile --cert și --key (vezi pagina man aici). Și în majoritatea celorlalți clienți HTTP există modalități de a trimite certificate de client. Exemple: requests în Python, fetch în js. Prin SDK-urile noastre oficiale, acceptăm și suprascrierea clientului HTTP — vezi aici pentru un exemplu în Python.

Înainte de a impune mTLS pentru traficul de producție, asigură-te că clientul HTTP pe care îl folosești se comportă corect la cererile de certificate de client (unele, precum WebSocket-urile în anumite browsere, nu o fac). Reține că serverul nostru nu furnizează o listă certificate_authorities în cererea pentru certificatul de client.

Cine poate accesa și modifica certificatele?

Prin interfața Dashboard de la https://platform.openai.com/settings/organization/mtls, proprietarii organizației pot accesa și modifica certificatele. Oricine are o cheie Admin API (https://platform.openai.com/settings/organization/admin-keys) poate, de asemenea, accesa/modifica certificatele, însă atenție — dacă activezi Mutual TLS la nivel de organizație, vei impune certificate și pentru aceste cereri API. Toate modificările mTLS sunt vizibile în jurnalele de audit.

Câte certificate pot avea?

Fiecare organizație poate încărca până la 50 de certificate, care pot fi partajate între proiecte, dar nu și cu alte organizații. Poți activa/dezactiva atomic un certificat pentru 10 proiecte simultan. Alternativ, poți activa/dezactiva 10 certificate simultan pentru organizația ta sau pentru 1 proiect specific.

Pot actualiza sau șterge certificatele?

Poți actualiza numele certificatelor tale, dar nu și conținutul. De asemenea, poți șterge certificatele dacă în prezent nu sunt active în niciun domeniu de aplicare.

Cum funcționează revocarea certificatelor?

În acest moment, nu acceptăm CRL-uri sau OCSP stapling. Alternativa recomandată este să îți ștergi sau rotești cheia API. De asemenea, poți înlocui certificatele CA sau poți folosi certificate de client cu perioade de valabilitate mai scurte.

Pot folosi lanțuri de certificate mai lungi?

În acest moment, acceptăm doar lanțuri cu o singură lungime — adică certificatul tău CA trebuie să semneze direct certificatele tale de client. Te rugăm să contactezi Account Directorul tău dacă ai întrebări suplimentare.

Care este configurația recomandată?

La configurarea inițială a acestei funcții, recomandăm să începi cu un proiect de staging care nu deservește trafic oficial de producție. Folosește această ocazie pentru a te asigura că certificatele tale sunt configurate corect pe mașinile tale și că poți trimite cu succes trafic API. În plus, recomandăm să consulți echipa de securitate a organizației tale pentru a înțelege cât mai bine nevoile tale.

Asistență suplimentară

Poți gestiona complet singur funcția mTLS prin dashboard și API. Totuși, dacă vrei să activezi mai întâi mTLS într-un mod shadow, te rugăm să contactezi Account Directorul tău sau să deschizi un tichet de asistență pornind un chat nou în colțul din dreapta jos al acestei pagini.

Anexă: Terminologie

  • Certificat CA: unul dintre certificatele tale de încredere care a semnat direct certificatele tale de client pe care le vei trimite împreună cu cererile. Poți folosi și certificate CA auto-semnate.

  • Încărcarea unui certificat: adăugarea unui certificat CA în contul tău. Încă nu este impus nicăieri pentru mTLS, dar poți începe să îl configurezi.

  • Domeniu de aplicare: un proiect specific sau întreaga ta organizație.

  • Activarea unui certificat CA într-un domeniu de aplicare: activează mTLS pentru acel domeniu de aplicare în mod specific, iar toate cererile bazate pe cheie API vor necesita un certificat de client semnat de certificatul CA.

  • Dezactivarea unui certificat CA într-un domeniu de aplicare: dezactivează utilizarea acestui certificat pentru verificarea cererilor în acest domeniu de aplicare. Dacă nu mai ai certificate pentru acel domeniu de aplicare, mTLS este în mod efectiv dezactivat.

  • Moștenirea unui certificat: dacă activezi un certificat pentru organizația ta, acesta va fi activat și pentru toate proiectele.

A fost util acest articol?