OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

โปรแกรมเบต้า OpenAI Mutual TLS

อัปเดตล่าสุด: 22 hours ago

OpenAI Mutual TLS ช่วยให้องค์กรกำหนดค่าชั้นความปลอดภัยเพิ่มเติมสำหรับทราฟฟิก OpenAI API ของตนได้ เมื่อกำหนดค่าแล้ว ควรส่งคำขอ API ไปที่ https://mtls.api.openai.com (หรือ https://mtls-eu.api.openai.com สำหรับลูกค้าที่ใช้ถิ่นที่อยู่ของข้อมูลใน EU) และทราฟฟิกจะได้รับการยอมรับก็ต่อเมื่อมีการระบุ API key และใบรับรองไคลเอ็นต์ที่ถูกต้อง mTLS ไม่มีผลกับแดชบอร์ด https://platform.openai.com ฟีเจอร์นี้อยู่ในช่วงเบต้าในขณะนี้

ฉันจะตั้งค่าการผสานการทำงาน mTLS ได้อย่างไร

บนแถบนำทางการตั้งค่า คุณจะเห็นแท็บ “Mutual TLS”

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

อัปโหลดใบรับรอง

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

เปิดใช้งานใบรับรอง

หลังจากอัปโหลดใบรับรองแล้ว ขั้นตอนถัดไปคือการเปิดใช้งานใบรับรองของคุณ เมื่อใบรับรองถูกเปิดใช้งานสำหรับโปรเจ็กต์แล้ว คำขอ API ทั้งหมดที่ส่งไปยังโปรเจ็กต์นั้นจะเริ่มต้องมีใบรับรองไคลเอ็นต์ที่สอดคล้องกันด้วย หากโปรเจ็กต์มีใบรับรองหลายใบที่เปิดใช้งานอยู่ คุณสามารถส่งใบรับรองไคลเอ็นต์ที่สอดคล้องกันใบใดก็ได้ หากใบรับรองถูกเปิดใช้งานสำหรับองค์กร ใบรับรองนั้นจะมีผลกับคำขอ API ทั้งหมด และจะถูก “สืบทอด” โดยทุกโปรเจ็กต์

Image

ข้อกำหนดสำหรับใบรับรอง CA

คุณสามารถอัปโหลดใบรับรอง CA แบบ X.509 ในรูปแบบ PEM ใดก็ได้ที่ตรงตามข้อกำหนดต่อไปนี้:

  1. ลงนามใบรับรองไคลเอ็นต์ที่คุณวางแผนจะใช้โดยตรง หรือเป็นจุดยึดให้กับเชนใบรับรองที่ถูกต้องซึ่งไคลเอ็นต์ของคุณนำเสนอ

  2. มีส่วนขยาย Certificate Authority, Subject Key Identifier และ Authority Key Identifier (ในรูปแบบ KeyIdentifier)

  3. มีสิทธิ์ Key Usage: “Certificate Sign, CRL Sign

  4. จะไม่หมดอายุภายใน 1 วัน

  5. ขนาดใบรับรองรวมต้องน้อยกว่า 16kb

ข้อกำหนดสำหรับใบรับรองไคลเอ็นต์

หากองค์กรของคุณเปิดใช้การรองรับเชนใบรับรอง ไคลเอ็นต์ของคุณสามารถนำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็นเพื่อสร้างเชนที่ถูกต้องไปยังใบรับรองที่อัปโหลดและใช้งานอยู่ ไม่เช่นนั้น ใบรับรองไคลเอ็นต์ต้องลงนามโดยตรงด้วยใบรับรองที่คุณอัปโหลดไว้ล่วงหน้า นอกจากนี้ ใบรับรองไคลเอ็นต์ของคุณต้องตรงตามข้อกำหนดต่อไปนี้:

  1. มีส่วนขยาย Subject Key Identifier และ Authority Key Identifier (ในรูปแบบ KeyIdentifier)

  2. มีสิทธิ์ Key Usage: “Digital Signature, Key Encipherment

  3. มีสิทธิ์ Extended Key Usage: “TLS Web Client Authentication

  4. มีส่วนขยาย Subject Alternate Name

การรองรับเชนใบรับรองสำหรับ API mTLS

การรองรับเชนใบรับรองช่วยให้ไคลเอ็นต์ของคุณนำเสนอใบรับรองไคลเอ็นต์แบบ leaf พร้อมใบรับรองระดับกลางที่จำเป็นเพื่อสร้างเชนที่ถูกต้องไปยังใบรับรองที่อัปโหลดและใช้งานอยู่

วิธีนี้ช่วยให้คุณหมุนเวียนใบรับรองระดับกลางได้โดยไม่ต้องอัปโหลดใบรับรองระดับกลางใหม่ทุกใบ ตราบใดที่ใบรับรองที่อัปโหลดและใช้งานอยู่ซึ่งใช้เป็นจุดยึดความเชื่อถือยังมีผลใช้ได้

ปัจจุบัน การรองรับเชนใบรับรองมีให้ใช้งานเมื่อส่งคำขอ ติดต่อ Account Director ของคุณหรือเปิดทิกเก็ตฝ่ายสนับสนุนเพื่อขอสิทธิ์เข้าถึง

ไคลเอ็นต์ของคุณต้องนำเสนอใบรับรองระดับกลางที่จำเป็นทั้งหมด OpenAI จะไม่ดึงใบรับรองระดับกลางที่ขาดไปผ่าน AIA ยังไม่รองรับการตรวจสอบ CRL และ OCSP

คำถามที่พบบ่อย

ฉันสามารถกำหนดค่า mTLS ผ่าน API ได้หรือไม่

ได้ — คุณสามารถดูข้อมูลอ้างอิง API ได้ที่ https://platform.openai.com/docs/api-reference/ สำหรับข้อมูลเพิ่มเติม

endpoint ใดรองรับ mTLS

ในช่วงเบต้านี้ mTLS รองรับอย่างเป็นทางการใน

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

ฉันจะส่งใบรับรองไคลเอ็นต์ไปพร้อมกับคำขอได้อย่างไร

สำหรับคำขอ cURL คุณสามารถใช้ตัวเลือก --cert และ --key ได้ (ดู man page ที่นี่) ในไคลเอ็นต์ HTTP อื่นๆ ส่วนใหญ่ ก็มีวิธีส่งใบรับรองไคลเอ็นต์เช่นกัน ตัวอย่าง: requests ใน Python, fetch ใน JS ผ่าน SDK อย่างเป็นทางการของเรา เรายังรองรับการแทนที่ไคลเอ็นต์ HTTP ด้วย — ดูตัวอย่างสำหรับ Python ได้ที่นี่

เมื่อเปิดใช้การรองรับเชนใบรับรอง ให้กำหนดค่าไคลเอ็นต์ HTTP ของคุณให้นำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็นทั้งหมด การกำหนดค่าที่แน่นอนขึ้นอยู่กับไคลเอ็นต์ HTTP ของคุณ

ก่อนบังคับใช้ mTLS กับทราฟฟิกการใช้งานจริง โปรดตรวจสอบว่าไคลเอ็นต์ HTTP ที่คุณใช้ทำงานได้ดีเมื่อมีคำขอใบรับรองไคลเอ็นต์ (บางอย่าง เช่น WebSockets ในบางเบราว์เซอร์ ไม่เป็นเช่นนั้น) โปรดทราบว่าเซิร์ฟเวอร์ของเราไม่ได้ส่งรายการ certificate_authorities ในคำขอใบรับรองไคลเอ็นต์

ใครสามารถเข้าถึงและแก้ไขใบรับรองได้บ้าง

ผ่าน UI แดชบอร์ด https://platform.openai.com/settings/organization/mtls เจ้าขององค์กรสามารถเข้าถึงและแก้ไขใบรับรองได้ ทุกคนที่มี Admin API Key (https://platform.openai.com/settings/organization/admin-keys) ก็สามารถเข้าถึง/แก้ไขใบรับรองได้เช่นกัน แต่โปรดระวัง — หากคุณเปิดใช้งาน Mutual TLS ในระดับองค์กร คุณจะบังคับใช้ใบรับรองกับคำขอ API เหล่านี้ด้วย การเปลี่ยนแปลง mTLS ทั้งหมดจะมองเห็นได้ในบันทึกการตรวจสอบ

ฉันมีใบรับรองได้กี่ใบ

แต่ละองค์กรสามารถอัปโหลดใบรับรองได้สูงสุด 50 ใบ ซึ่งสามารถแชร์ข้ามโปรเจ็กต์ได้ แต่ไม่สามารถแชร์กับองค์กรอื่นได้ คุณสามารถเปิดใช้งาน/ปิดใช้งานใบรับรองแบบอะตอมมิกสำหรับ 10 โปรเจ็กต์ในแต่ละครั้ง อีกทางหนึ่ง คุณสามารถเปิดใช้งาน/ปิดใช้งานใบรับรอง 10 ใบในแต่ละครั้งสำหรับองค์กรของคุณ หรือสำหรับโปรเจ็กต์เฉพาะ 1 โปรเจ็กต์

ฉันสามารถอัปเดตหรือลบใบรับรองได้หรือไม่

คุณสามารถอัปเดตชื่อของใบรับรองได้ แต่ไม่สามารถอัปเดตเนื้อหาได้ คุณยังสามารถลบใบรับรองได้หากใบรับรองนั้นไม่ได้เปิดใช้งานอยู่ในขอบเขตใดๆ

การเพิกถอนใบรับรองทำงานอย่างไร

ขณะนี้ เรายังไม่รองรับการตรวจสอบ CRL หรือ OCSP ทางเลือกที่แนะนำคือให้ลบหรือหมุนเวียน API key ของคุณแทน คุณยังสามารถเปลี่ยนใบรับรอง CA หรือใช้ใบรับรองไคลเอ็นต์ที่มีระยะเวลามีผลสั้นลงได้

ฉันสามารถใช้เชนใบรับรองที่ยาวขึ้นได้ไหม

ได้ หากเปิดใช้การรองรับเชนใบรับรองสำหรับองค์กรของคุณแล้ว ไคลเอ็นต์ของคุณต้องนำเสนอใบรับรองไคลเอ็นต์แบบ leaf และใบรับรองระดับกลางที่จำเป็น เพื่อให้ OpenAI สามารถตรวจสอบเชนไปยังใบรับรองที่อัปโหลดและใช้งานอยู่ได้ ติดต่อ Account Director ของคุณหรือเปิดทิกเก็ตฝ่ายสนับสนุนเพื่อขอสิทธิ์เข้าถึง

การตั้งค่าที่แนะนำคืออะไร

เมื่อตั้งค่าฟีเจอร์นี้ในช่วงแรก เราแนะนำให้เริ่มจากโปรเจ็กต์ staging ที่ไม่ได้ให้บริการทราฟฟิกการใช้งานจริงอย่างเป็นทางการ ใช้โอกาสนี้ตรวจสอบให้แน่ใจว่าใบรับรองของคุณตั้งค่าอย่างถูกต้องบนเครื่องของคุณ และคุณสามารถส่งทราฟฟิก API ได้สำเร็จ นอกจากนี้ เราแนะนำให้ปรึกษาทีมความปลอดภัยขององค์กรของคุณเพื่อทำความเข้าใจความต้องการของคุณให้ดีที่สุด

การสนับสนุนเพิ่มเติม

คุณสามารถใช้งานฟีเจอร์ mTLS ด้วยตนเองได้ทั้งหมดผ่านแดชบอร์ดและ API อย่างไรก็ตาม หากคุณต้องการเปิดใช้งาน mTLS ในโหมด shadow ก่อน โปรดติดต่อ Account Director ของคุณ หรือเปิดตั๋วขอรับการสนับสนุนโดยเริ่มแชทใหม่ที่มุมขวาล่างของหน้านี้

ภาคผนวก: คำศัพท์

  • ใบรับรอง CA: หนึ่งในใบรับรองที่คุณเชื่อถือ ซึ่งใช้เพื่อตรวจสอบใบรับรองไคลเอ็นต์ ใบรับรองนี้สามารถลงนามใบรับรองไคลเอ็นต์ที่คุณส่งไปพร้อมกับคำขอได้โดยตรง หรือเป็นจุดยึดความเชื่อถือให้กับเชนใบรับรองที่ไคลเอ็นต์ของคุณนำเสนอ คุณสามารถใช้ใบรับรอง CA ที่ลงนามด้วยตนเองได้

  • อัปโหลดใบรับรอง: การเพิ่มใบรับรอง CA ไปยังบัญชีของคุณ ใบรับรองนั้นจะยังไม่ถูกบังคับใช้ที่ใดสำหรับ mTLS แต่คุณสามารถเริ่มกำหนดค่าได้

  • ขอบเขต: โปรเจ็กต์เฉพาะหรือทั้งองค์กรของคุณ

  • เปิดใช้งานใบรับรอง CA ในขอบเขตหนึ่ง: เปิดใช้ mTLS สำหรับขอบเขตนั้นโดยเฉพาะ และคำขอทั้งหมดที่ใช้ API key ต้องมีใบรับรองไคลเอ็นต์ที่สามารถตรวจสอบเทียบกับใบรับรอง CA ที่ใช้งานอยู่ได้

  • ปิดใช้งานใบรับรอง CA ในขอบเขตหนึ่ง: ปิดการใช้งานใบรับรองนี้เพื่อตรวจสอบคำขอในขอบเขตนี้ หากไม่มีใบรับรองเหลืออยู่สำหรับขอบเขตนั้น mTLS จะถือว่าปิดอยู่

  • การสืบทอดใบรับรอง: หากคุณเปิดใช้งานใบรับรองสำหรับองค์กรของคุณ ใบรับรองนั้นจะเปิดใช้งานสำหรับทุกโปรเจ็กต์ด้วย

บทความนี้มีประโยชน์หรือไม่