OpenAI Mutual TLS ช่วยให้องค์กรกำหนดค่าชั้นความปลอดภัยเพิ่มเติมสำหรับทราฟฟิก OpenAI API ของตนได้ เมื่อกำหนดค่าแล้ว ควรส่งคำขอ API ไปที่ https://mtls.api.openai.com (หรือ https://mtls-eu.api.openai.com สำหรับลูกค้าที่ใช้ถิ่นที่อยู่ของข้อมูลใน EU) และทราฟฟิกจะได้รับการยอมรับก็ต่อเมื่อมีการระบุ API key และใบรับรองไคลเอ็นต์ที่ถูกต้อง mTLS ไม่มีผลกับแดชบอร์ด https://platform.openai.com ฟีเจอร์นี้อยู่ในช่วงเบต้าในขณะนี้
ฉันจะตั้งค่าการผสานการทำงาน mTLS ได้อย่างไร
บนแถบนำทางการตั้งค่า คุณจะเห็นแท็บ “Mutual TLS”
อัปโหลดใบรับรอง
เปิดใช้งานใบรับรอง
หลังจากอัปโหลดใบรับรองแล้ว ขั้นตอนถัดไปคือการเปิดใช้งานใบรับรองของคุณ เมื่อใบรับรองถูกเปิดใช้งานสำหรับโปรเจ็กต์แล้ว คำขอ API ทั้งหมดที่ส่งไปยังโปรเจ็กต์นั้นจะเริ่มต้องมีใบรับรองไคลเอ็นต์ที่สอดคล้องกันด้วย หากโปรเจ็กต์มีใบรับรองหลายใบที่เปิดใช้งานอยู่ คุณสามารถส่งใบรับรองไคลเอ็นต์ที่สอดคล้องกันใบใดก็ได้ หากใบรับรองถูกเปิดใช้งานสำหรับองค์กร ใบรับรองนั้นจะมีผลกับคำขอ API ทั้งหมด และจะถูก “สืบทอด” โดยทุกโปรเจ็กต์
ข้อกำหนดสำหรับใบรับรอง CA
คุณสามารถอัปโหลดใบรับรอง CA แบบ X.509 ในรูปแบบ PEM ใดก็ได้ที่ตรงตามข้อกำหนดต่อไปนี้:
ลงนามใบรับรองไคลเอ็นต์ที่คุณวางแผนจะใช้โดยตรง หรือเป็นจุดยึดให้กับเชนใบรับรองที่ถูกต้องซึ่งไคลเอ็นต์ของคุณนำเสนอ
มีส่วนขยาย Certificate Authority, Subject Key Identifier และ Authority Key Identifier (ในรูปแบบ KeyIdentifier)
มีสิทธิ์ Key Usage: “Certificate Sign, CRL Sign”
จะไม่หมดอายุภายใน 1 วัน
ขนาดใบรับรองรวมต้องน้อยกว่า 16kb
ข้อกำหนดสำหรับใบรับรองไคลเอ็นต์
หากองค์กรของคุณเปิดใช้การรองรับเชนใบรับรอง ไคลเอ็นต์ของคุณสามารถนำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็นเพื่อสร้างเชนที่ถูกต้องไปยังใบรับรองที่อัปโหลดและใช้งานอยู่ ไม่เช่นนั้น ใบรับรองไคลเอ็นต์ต้องลงนามโดยตรงด้วยใบรับรองที่คุณอัปโหลดไว้ล่วงหน้า นอกจากนี้ ใบรับรองไคลเอ็นต์ของคุณต้องตรงตามข้อกำหนดต่อไปนี้:
มีส่วนขยาย Subject Key Identifier และ Authority Key Identifier (ในรูปแบบ KeyIdentifier)
มีสิทธิ์ Key Usage: “Digital Signature, Key Encipherment”
มีสิทธิ์ Extended Key Usage: “TLS Web Client Authentication”
มีส่วนขยาย Subject Alternate Name
การรองรับเชนใบรับรองสำหรับ API mTLS
การรองรับเชนใบรับรองช่วยให้ไคลเอ็นต์ของคุณนำเสนอใบรับรองไคลเอ็นต์แบบ leaf พร้อมใบรับรองระดับกลางที่จำเป็นเพื่อสร้างเชนที่ถูกต้องไปยังใบรับรองที่อัปโหลดและใช้งานอยู่
วิธีนี้ช่วยให้คุณหมุนเวียนใบรับรองระดับกลางได้โดยไม่ต้องอัปโหลดใบรับรองระดับกลางใหม่ทุกใบ ตราบใดที่ใบรับรองที่อัปโหลดและใช้งานอยู่ซึ่งใช้เป็นจุดยึดความเชื่อถือยังมีผลใช้ได้
ปัจจุบัน การรองรับเชนใบรับรองมีให้ใช้งานเมื่อส่งคำขอ ติดต่อ Account Director ของคุณหรือเปิดทิกเก็ตฝ่ายสนับสนุนเพื่อขอสิทธิ์เข้าถึง
ไคลเอ็นต์ของคุณต้องนำเสนอใบรับรองระดับกลางที่จำเป็นทั้งหมด OpenAI จะไม่ดึงใบรับรองระดับกลางที่ขาดไปผ่าน AIA ยังไม่รองรับการตรวจสอบ CRL และ OCSP
คำถามที่พบบ่อย
ฉันสามารถกำหนดค่า mTLS ผ่าน API ได้หรือไม่
ได้ — คุณสามารถดูข้อมูลอ้างอิง API ได้ที่ https://platform.openai.com/docs/api-reference/ สำหรับข้อมูลเพิ่มเติม
endpoint ใดรองรับ mTLS
ในช่วงเบต้านี้ mTLS รองรับอย่างเป็นทางการใน
/v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)/v1/completions/v1/embeddings/v1/audio/transcriptions/v1/audio/speech/v1/files/v1/batches/v1/responses/v1/images/v1/moderations/v1/realtime (via server-side web sockets)/v1/fine_tuning/v1/tunnels
ฉันจะส่งใบรับรองไคลเอ็นต์ไปพร้อมกับคำขอได้อย่างไร
สำหรับคำขอ cURL คุณสามารถใช้ตัวเลือก --cert และ --key ได้ (ดู man page ที่นี่) ในไคลเอ็นต์ HTTP อื่นๆ ส่วนใหญ่ ก็มีวิธีส่งใบรับรองไคลเอ็นต์เช่นกัน ตัวอย่าง: requests ใน Python, fetch ใน JS ผ่าน SDK อย่างเป็นทางการของเรา เรายังรองรับการแทนที่ไคลเอ็นต์ HTTP ด้วย — ดูตัวอย่างสำหรับ Python ได้ที่นี่
เมื่อเปิดใช้การรองรับเชนใบรับรอง ให้กำหนดค่าไคลเอ็นต์ HTTP ของคุณให้นำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็นทั้งหมด การกำหนดค่าที่แน่นอนขึ้นอยู่กับไคลเอ็นต์ HTTP ของคุณ
ก่อนบังคับใช้ mTLS กับทราฟฟิกการใช้งานจริง โปรดตรวจสอบว่าไคลเอ็นต์ HTTP ที่คุณใช้ทำงานได้ดีเมื่อมีคำขอใบรับรองไคลเอ็นต์ (บางอย่าง เช่น WebSockets ในบางเบราว์เซอร์ ไม่เป็นเช่นนั้น) โปรดทราบว่าเซิร์ฟเวอร์ของเราไม่ได้ส่งรายการ certificate_authorities ในคำขอใบรับรองไคลเอ็นต์
ใครสามารถเข้าถึงและแก้ไขใบรับรองได้บ้าง
ผ่าน UI แดชบอร์ด https://platform.openai.com/settings/organization/mtls เจ้าขององค์กรสามารถเข้าถึงและแก้ไขใบรับรองได้ ทุกคนที่มี Admin API Key (https://platform.openai.com/settings/organization/admin-keys) ก็สามารถเข้าถึง/แก้ไขใบรับรองได้เช่นกัน แต่โปรดระวัง — หากคุณเปิดใช้งาน Mutual TLS ในระดับองค์กร คุณจะบังคับใช้ใบรับรองกับคำขอ API เหล่านี้ด้วย การเปลี่ยนแปลง mTLS ทั้งหมดจะมองเห็นได้ในบันทึกการตรวจสอบ
ฉันมีใบรับรองได้กี่ใบ
แต่ละองค์กรสามารถอัปโหลดใบรับรองได้สูงสุด 50 ใบ ซึ่งสามารถแชร์ข้ามโปรเจ็กต์ได้ แต่ไม่สามารถแชร์กับองค์กรอื่นได้ คุณสามารถเปิดใช้งาน/ปิดใช้งานใบรับรองแบบอะตอมมิกสำหรับ 10 โปรเจ็กต์ในแต่ละครั้ง อีกทางหนึ่ง คุณสามารถเปิดใช้งาน/ปิดใช้งานใบรับรอง 10 ใบในแต่ละครั้งสำหรับองค์กรของคุณ หรือสำหรับโปรเจ็กต์เฉพาะ 1 โปรเจ็กต์
ฉันสามารถอัปเดตหรือลบใบรับรองได้หรือไม่
คุณสามารถอัปเดตชื่อของใบรับรองได้ แต่ไม่สามารถอัปเดตเนื้อหาได้ คุณยังสามารถลบใบรับรองได้หากใบรับรองนั้นไม่ได้เปิดใช้งานอยู่ในขอบเขตใดๆ
การเพิกถอนใบรับรองทำงานอย่างไร
ขณะนี้ เรายังไม่รองรับการตรวจสอบ CRL หรือ OCSP ทางเลือกที่แนะนำคือให้ลบหรือหมุนเวียน API key ของคุณแทน คุณยังสามารถเปลี่ยนใบรับรอง CA หรือใช้ใบรับรองไคลเอ็นต์ที่มีระยะเวลามีผลสั้นลงได้
ฉันสามารถใช้เชนใบรับรองที่ยาวขึ้นได้ไหม
ได้ หากเปิดใช้การรองรับเชนใบรับรองสำหรับองค์กรของคุณแล้ว ไคลเอ็นต์ของคุณต้องนำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็น เพื่อให้ OpenAI สามารถตรวจสอบเชนไปยังใบรับรองที่อัปโหลดและใช้งานอยู่ได้ ติดต่อ Account Director ของคุณหรือเปิดทิกเก็ตฝ่ายสนับสนุนเพื่อขอสิทธิ์เข้าถึง
การตั้งค่าที่แนะนำคืออะไร
เมื่อตั้งค่าฟีเจอร์นี้ในช่วงแรก เราแนะนำให้เริ่มจากโปรเจ็กต์ staging ที่ไม่ได้ให้บริการทราฟฟิกการใช้งานจริงอย่างเป็นทางการ ใช้โอกาสนี้ตรวจสอบให้แน่ใจว่าใบรับรองของคุณตั้งค่าอย่างถูกต้องบนเครื่องของคุณ และคุณสามารถส่งทราฟฟิก API ได้สำเร็จ นอกจากนี้ เราแนะนำให้ปรึกษาทีมความปลอดภัยขององค์กรของคุณเพื่อทำความเข้าใจความต้องการของคุณให้ดีที่สุด
การสนับสนุนเพิ่มเติม
คุณสามารถใช้งานฟีเจอร์ mTLS ด้วยตนเองได้ทั้งหมดผ่านแดชบอร์ดและ API อย่างไรก็ตาม หากคุณต้องการเปิดใช้งาน mTLS ในโหมด shadow ก่อน โปรดติดต่อ Account Director ของคุณ หรือเปิดตั๋วขอรับการสนับสนุนโดยเริ่มแชทใหม่ที่มุมขวาล่างของหน้านี้
ภาคผนวก: คำศัพท์
ใบรับรอง CA: หนึ่งในใบรับรองที่คุณเชื่อถือ ซึ่งใช้เพื่อตรวจสอบใบรับรองไคลเอ็นต์ ใบรับรองนี้สามารถลงนามใบรับรองไคลเอ็นต์ที่คุณส่งไปพร้อมกับคำขอได้โดยตรง หรือเป็นจุดยึดความเชื่อถือให้กับเชนใบรับรองที่ไคลเอ็นต์ของคุณนำเสนอ คุณสามารถใช้ใบรับรอง CA ที่ลงนามด้วยตนเองได้
อัปโหลดใบรับรอง: การเพิ่มใบรับรอง CA ไปยังบัญชีของคุณ ใบรับรองนั้นจะยังไม่ถูกบังคับใช้ที่ใดสำหรับ mTLS แต่คุณสามารถเริ่มกำหนดค่าได้
ขอบเขต: โปรเจ็กต์เฉพาะหรือทั้งองค์กรของคุณ
เปิดใช้งานใบรับรอง CA ในขอบเขตหนึ่ง: เปิดใช้ mTLS สำหรับขอบเขตนั้นโดยเฉพาะ และคำขอทั้งหมดที่ใช้ API key ต้องมีใบรับรองไคลเอ็นต์ที่สามารถตรวจสอบเทียบกับใบรับรอง CA ที่ใช้งานอยู่ได้
ปิดใช้งานใบรับรอง CA ในขอบเขตหนึ่ง: ปิดการใช้งานใบรับรองนี้เพื่อตรวจสอบคำขอในขอบเขตนี้ หากไม่มีใบรับรองเหลืออยู่สำหรับขอบเขตนั้น mTLS จะถือว่าปิดอยู่
การสืบทอดใบรับรอง: หากคุณเปิดใช้งานใบรับรองสำหรับองค์กรของคุณ ใบรับรองนั้นจะเปิดใช้งานสำหรับทุกโปรเจ็กต์ด้วย
