OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

OpenAI Mutual TLS-betaprogram

Uppdaterades: 27 days ago

OpenAI Mutual TLS gör det möjligt för organisationer att konfigurera ett extra säkerhetslager för sin OpenAI API-trafik. När det har konfigurerats ska API-begäranden göras till https://mtls.api.openai.com (eller https://mtls-eu.api.openai.com för kunder med datahemvist i EU), och trafik accepteras endast om rätt API-nyckel och klientcertifikat tillhandahålls. mTLS gäller inte instrumentpanelen https://platform.openai.com. Den här funktionen är för närvarande i beta.

Hur konfigurerar jag mTLS-integreringen?

I navigeringsfältet för inställningar ser du fliken ”Mutual TLS”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Ladda upp certifikat

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Aktivera certifikat

När du har laddat upp ditt certifikat är nästa steg att aktivera certifikatet. När ett certifikat har aktiverats för ett projekt börjar alla API-begäranden som går till det projektet också kräva ett motsvarande klientcertifikat. Om ett projekt har flera aktiverade certifikat kan du skicka in valfritt motsvarande klientcertifikat. Om ett certifikat aktiveras för organisationen gäller det för alla API-begäranden och ”ärvs” av alla projekt.

Image

Krav för CA-certifikat

Du kan ladda upp valfritt X.509 CA-certifikat i PEM-format som uppfyller följande krav:

  1. signerar direkt de klientcertifikat som du planerar att göra begäranden med

  2. har tilläggen Certificate Authority, Subject Key Identifier och Authority Key Identifier (i KeyIdentifier-format)

  3. har Key Usage-behörigheterna: ”Certificate Sign, CRL Sign

  4. inte är inställt på att upphöra att gälla inom 1 dag

  5. den totala certifikatstorleken måste vara mindre än 16kb.

Krav för klientcertifikat

Klientcertifikat måste vara direkt signerade av de certifikat som du laddade upp i förväg. För närvarande stöder vi endast certifikatkedjor med längd ett. Utöver detta måste dina klientcertifikat uppfylla följande krav:

  1. har tilläggen Subject Key Identifier och Authority Key Identifier (i KeyIdentifier-format)

  2. har Key Usage-behörigheterna: ”Digital Signature, Key Encipherment

  3. har Extended Key Usage-behörigheten: ”TLS Web Client Authentication

  4. har tillägget Subject Alternate Name

Vanliga frågor

Kan jag konfigurera mTLS via API?

Ja – du hittar API-referensen på https://platform.openai.com/docs/api-reference/ för mer information.

Vilka slutpunkter stöder mTLS?

Under den här betaperioden stöds mTLS officiellt i

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

Hur skickar jag klientcertifikat med min begäran?

För en cURL-begäran kan du använda alternativen --cert och --key (se manualsidan här). I de flesta andra HTTP-klienter finns det också sätt att skicka klientcertifikat. Exempel: requests i Python, fetch i JS. Via våra officiella SDK:er stöder vi även åsidosättning av HTTP-klienten – se här för ett Python-exempel.

Innan du tillämpar mTLS för produktionstrafik bör du säkerställa att den HTTP-klient du använder fungerar bra med begäranden om klientcertifikat (vissa, till exempel WebSockets i vissa webbläsare, gör inte det). Observera att vår server inte tillhandahåller någon certificate_authorities-lista i begäran om klientcertifikat.

Vem kan komma åt och ändra certifikat?

Via instrumentpanelens gränssnitt https://platform.openai.com/settings/organization/mtls kan organisationens ägare komma åt och ändra certifikat. Alla med en Admin API-nyckel (https://platform.openai.com/settings/organization/admin-keys) kan också komma åt/ändra certifikat, men tänk på att om du aktiverar Mutual TLS på organisationsnivå kommer du även att tillämpa certifikat på dessa API-begäranden. Alla mTLS-ändringar är synliga i granskningsloggar.

Hur många certifikat kan jag ha?

Varje organisation kan ladda upp upp till 50 certifikat, som kan delas mellan projekt men inte med andra organisationer. Du kan atomärt aktivera/inaktivera ett certifikat för 10 projekt åt gången. Alternativt kan du aktivera/inaktivera 10 certifikat åt gången för din organisation eller för 1 specifikt projekt.

Kan jag uppdatera eller radera certifikat?

Du kan uppdatera namnen på dina certifikat, men inte innehållet. Du kan också radera certifikat om de inte är aktiva i någon omfattning för närvarande.

Hur fungerar återkallelse av certifikat?

För närvarande stöder vi inte CRL:er eller OCSP-stapling. Det rekommenderade alternativet är att radera eller rotera din API-nyckel i stället. Du kan också byta ut dina CA-certifikat eller använda klientcertifikat med kortare giltighetstider.

Kan jag använda längre certifikatkedjor?

För närvarande stöder vi endast certifikatkedjor med längd ett – dvs. ditt CA-certifikat ska signera dina klientcertifikat direkt. Kontakta din Account Director om du har ytterligare frågor.

Vilken konfiguration rekommenderas?

När du först konfigurerar den här funktionen rekommenderar vi att du börjar med ett mellanlagringsprojekt som inte hanterar officiell produktionstrafik. Använd det här tillfället för att kontrollera att dina certifikat är korrekt konfigurerade på dina maskiner och att du kan skicka API-trafik utan problem. Utöver detta rekommenderar vi att du rådgör med organisationens säkerhetsteam för att bättre förstå era behov.

Extra support

Du kan hantera mTLS-funktionen helt själv via instrumentpanelen och API:t. Men om du först vill aktivera mTLS i skuggläge kan du kontakta din Account Director eller öppna ett supportärende genom att starta en ny chatt i det nedre högra hörnet på den här sidan.

Bilaga: Terminologi

  • CA-certifikat: Ett av dina betrodda certifikat som direkt har signerat de klientcertifikat som du skickar med begäranden. Du kan använda självsignerade CA-certifikat.

  • Ladda upp ett certifikat: att lägga till ett CA-certifikat i ditt konto. Det tillämpas ännu inte någonstans för mTLS, men du kan börja konfigurera det.

  • Omfattning: ett specifikt projekt eller hela din organisation.

  • Aktivera ett CA-certifikat för en omfattning: aktiverar mTLS specifikt för den omfattningen, och alla API-nyckelbaserade begäranden måste ha ett klientcertifikat som är signerat av CA-certifikatet.

  • Inaktivera ett CA-certifikat för en omfattning: inaktiverar användningen av detta certifikat för att verifiera begäranden inom den här omfattningen. Om du inte har några certifikat kvar för omfattningen är mTLS i praktiken avstängt.

  • Ärva ett certifikat: Om du aktiverar ett certifikat för din organisation aktiveras det även för alla projekt.

Var den här artikeln till hjälp?