OpenAI Mutual TLS permite organizațiilor să configureze un strat suplimentar de securitate pentru traficul lor OpenAI API. După configurare, solicitările API trebuie făcute către https://mtls.api.openai.com (sau https://mtls-eu.api.openai.com pentru clienții cu rezidența datelor în UE), iar traficul va fi acceptat numai dacă sunt furnizate cheia API și certificatul de client corecte. mTLS nu se aplică pentru Dashboardul https://platform.openai.com. Această funcție este în prezent în beta.
Cum configurez integrarea mTLS?
În bara de navigare a setărilor, veți vedea o filă „TLS reciproc”.
Încărcați certificatul
Activați certificatul
După încărcarea certificatului, pasul următor este să activați certificatul. După ce un certificat este activat pentru un proiect, toate solicitările API către acel proiect vor începe să necesite și un certificat de client corespunzător. Dacă un proiect are mai multe certificate activate, puteți transmite orice certificat de client corespunzător. Dacă un certificat este activat pentru organizație, acesta se va aplica pentru toate solicitările API și va fi „moștenit” de toate proiectele.
Cerințe pentru certificatul CA
Puteți încărca orice certificat CA X.509 în format PEM care îndeplinește următoarele cerințe:
semnează direct certificatele de client cu care intenționați să faceți solicitări
are extensiile Certificate Authority, Subject Key Identifier și Authority Key Identifier (în format KeyIdentifier)
are permisiunile Key Usage: „Certificate Sign, CRL Sign”
nu este setat să expire în termen de 1 zi
dimensiunea totală a certificatului trebuie să fie mai mică de 16 KB.
Cerințe pentru certificatul de client
Certificatele de client trebuie să fie semnate direct de certificatele pe care le-ați încărcat în prealabil. În acest moment, acceptăm în prezent doar lanțuri de certificate de lungime unică. În afară de aceasta, certificatele dvs. de client trebuie să îndeplinească următoarele cerințe:
au extensiile Subject Key Identifier și Authority Key Identifier (în format KeyIdentifier)
au permisiunile Key Usage: „Digital Signature, Key Encipherment”
au permisiunea Extended Key Usage: „TLS Web Client Authentication”
au extensia Subject Alternate Name
Întrebări frecvente
Pot configura mTLS prin API?
Da — puteți consulta Referința API la https://platform.openai.com/docs/api-reference/ pentru mai multe informații.
Ce puncte finale acceptă mTLS?
În această perioadă beta, mTLS este acceptat oficial în
/v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)/v1/completions/v1/embeddings/v1/audio/transcriptions/v1/audio/speech/v1/files/v1/batches/v1/responses/v1/images/v1/moderations/v1/realtime (via server-side web sockets)/v1/fine_tuning/v1/tunnels
Cum trimit certificatele de client împreună cu solicitarea mea?
Pentru o solicitare cURL, puteți folosi opțiunile --cert și --key (consultați pagina de manual aici). În majoritatea celorlalți clienți HTTP există, de asemenea, modalități de a transmite certificate de client. Exemple: requests în Python, fetch în JS. Prin SDK-urile noastre oficiale, acceptăm și suprascrierea clientului HTTP — vedeți aici un exemplu pentru Python.
Înainte de a impune mTLS pentru traficul de producție, asigurați-vă că clientul HTTP pe care îl utilizați se comportă corespunzător cu solicitările de certificate de client (unii, precum WebSockets în anumite browsere, nu o fac). Rețineți că serverul nostru nu furnizează o listă certificate_authorities în solicitarea certificatului de client.
Cine poate accesa și modifica certificatele?
Prin interfața de utilizare Dashboard de la https://platform.openai.com/settings/organization/mtls, proprietarii organizației pot accesa și modifica certificatele. Oricine are o cheie API de administrator (https://platform.openai.com/settings/organization/admin-keys) poate, de asemenea, accesa/modifica certificatele, însă aveți grijă — dacă activați Mutual TLS la nivel de organizație, veți impune certificate și pentru aceste solicitări API. Toate modificările mTLS sunt vizibile în jurnalele de audit.
Câte certificate pot avea?
Fiecare organizație poate încărca până la 50 de certificate, care pot fi partajate între proiecte, dar nu și cu alte organizații. Puteți activa/dezactiva atomic un certificat pentru câte 10 proiecte simultan. Alternativ, puteți activa/dezactiva câte 10 certificate simultan pentru organizația dvs. sau pentru 1 proiect specific.
Pot actualiza sau șterge certificate?
Puteți actualiza numele certificatelor dvs., dar nu și conținutul. De asemenea, puteți șterge certificate dacă acestea nu sunt active momentan în niciun domeniu de aplicare.
Cum funcționează revocarea certificatelor?
În acest moment, nu acceptăm CRL-uri sau OCSP stapling. Alternativa recomandată este să ștergeți sau să rotiți în schimb cheia API. De asemenea, puteți înlocui certificatele CA sau puteți folosi certificate de client cu perioade de valabilitate mai scurte.
Pot folosi lanțuri de certificate mai lungi?
În acest moment, acceptăm doar lanțuri de lungime unică — adică certificatul dvs. CA ar trebui să semneze direct certificatele dvs. de client. Contactați directorul de cont dacă aveți întrebări suplimentare.
Care este configurarea recomandată?
Când configurați inițial această funcție, vă recomandăm să începeți cu un proiect de staging care nu deservește trafic oficial de producție. Folosiți această ocazie pentru a vă asigura că certificatele sunt configurate corect pe mașinile dvs. și că puteți trimite cu succes trafic API. În afară de aceasta, vă recomandăm să consultați echipa de securitate a organizației dvs. pentru a vă înțelege cât mai bine nevoile.
Asistență suplimentară
Puteți gestiona complet pe cont propriu funcția mTLS prin dashboard și API. Totuși, dacă doriți să activați mTLS inițial într-un mod shadow, contactați directorul de cont sau deschideți un tichet de asistență începând un chat nou în colțul din dreapta jos al acestei pagini.
Anexă: Terminologie
Certificat CA: unul dintre certificatele dvs. de încredere care a semnat direct certificatele de client pe care le veți trimite împreună cu solicitările. Puteți folosi certificate CA autosemnate.
Încărcarea unui certificat: adăugarea unui certificat CA în contul dvs. Încă nu este impus nicăieri pentru mTLS, dar puteți începe să îl configurați.
Domeniu de aplicare: un anumit proiect sau întreaga dvs. organizație.
Activarea unui certificat CA într-un domeniu de aplicare: activează mTLS pentru acel domeniu de aplicare în mod specific, iar toate solicitările bazate pe chei API vor trebui să necesite un certificat de client semnat de certificatul CA.
Dezactivarea unui certificat CA într-un domeniu de aplicare: dezactivează utilizarea acestui certificat pentru a verifica solicitările în acest domeniu de aplicare. Dacă nu mai aveți certificate pentru domeniul de aplicare, mTLS este efectiv dezactivat.
Moștenirea unui certificat: dacă activați un certificat pentru organizația dvs., acesta va fi activat și pentru toate proiectele.
