OpenAI Mutual TLS, kuruluşların OpenAI API trafiği için ek bir güvenlik katmanı yapılandırmasına olanak tanır. Yapılandırıldıktan sonra API istekleri https://mtls.api.openai.com adresine (veya AB veri saklama ve işleme konumu gereksinimleri kapsamındaki müşteriler için https://mtls-eu.api.openai.com adresine) yapılmalıdır ve trafik yalnızca doğru API anahtarı ve istemci sertifikası sağlanırsa kabul edilir. mTLS, https://platform.openai.com Panosu için geçerli değildir. Bu özellik şu anda beta aşamasındadır.
mTLS entegrasyonunu nasıl ayarlarım?
Ayarlar gezinme çubuğunda “Karşılıklı TLS” sekmesini görürsünüz.
Sertifika Yükle
Sertifikayı Etkinleştir
Sertifikanızı yükledikten sonra bir sonraki adım sertifikanızı etkinleştirmektir. Bir sertifika bir proje için etkinleştirildiğinde, o projeye giden tüm API istekleri karşılık gelen bir istemci sertifikası da gerektirmeye başlar. Bir projede birden fazla sertifika etkinleştirilmişse karşılık gelen herhangi bir istemci sertifikasını iletebilirsiniz. Bir sertifika kuruluş için etkinleştirilirse tüm API isteklerine uygulanır ve tüm projeler tarafından “devralınır”.
CA sertifikası gereksinimleri
Aşağıdaki gereksinimleri karşılayan PEM formatındaki herhangi bir X.509 CA sertifikasını yükleyebilirsiniz:
istek yapmak için kullanmayı planladığınız istemci sertifikalarınızı doğrudan imzalar
Certificate Authority, Subject Key Identifier ve Authority Key Identifier (KeyIdentifier formatında) uzantılarına sahiptir
Key Usage: “Certificate Sign, CRL Sign” izinlerine sahiptir
1 gün içinde süresi dolacak şekilde ayarlanmamıştır
toplam sertifika boyutu 16 kb’den küçük olmalıdır.
İstemci sertifikası gereksinimleri
İstemci sertifikaları, önceden yüklediğiniz sertifikalar tarafından doğrudan imzalanmış olmalıdır. Şu anda yalnızca tek uzunluklu sertifika zincirlerini destekliyoruz. Bunun dışında, istemci sertifikalarınız aşağıdaki gereksinimleri karşılamalıdır:
Subject Key Identifier ve Authority Key Identifier uzantısına (KeyIdentifier formatında) sahiptir
Key Usage: “Digital Signature, Key Encipherment” izinlerine sahiptir
Extended Key Usage: “TLS Web Client Authentication” iznine sahiptir
Subject Alternate Name uzantısına sahiptir
SSS
mTLS’yi API üzerinden yapılandırabilir miyim?
Evet — daha fazla bilgi için https://platform.openai.com/docs/api-reference/ adresindeki API Referansı’na bakabilirsiniz.
Hangi uç noktalar mTLS’yi destekliyor?
Bu beta dönemi boyunca mTLS resmi olarak şuralarda desteklenir:
/v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)/v1/completions/v1/embeddings/v1/audio/transcriptions/v1/audio/speech/v1/files/v1/batches/v1/responses/v1/images/v1/moderations/v1/realtime (via server-side web sockets)/v1/fine_tuning/v1/tunnels
İstemci sertifikalarını isteğimle nasıl gönderirim?
Bir cURL isteği için --cert ve --key seçeneklerini kullanabilirsiniz (man sayfasına buradan bakın). Diğer çoğu HTTP istemcisinde de istemci sertifikalarını iletmenin yolları vardır. Örnekler: Python’da requests, JS’de fetch. Resmi SDK’larımız aracılığıyla HTTP istemcisini geçersiz kılmayı da destekliyoruz — Python örneği için buraya bakın.
Üretim trafiği için mTLS’yi zorunlu kılmadan önce, kullandığınız HTTP istemcisinin istemci sertifikası istekleriyle iyi çalıştığından emin olun (belirli tarayıcılardaki WebSockets gibi bazıları iyi çalışmaz). Sunucumuzun istemci sertifikası isteğinde certificate_authorities listesi sağlamadığını unutmayın.
Sertifikalara kimler erişebilir ve bunları değiştirebilir?
https://platform.openai.com/settings/organization/mtls Pano kullanıcı arayüzü aracılığıyla kuruluş sahipleri sertifikalara erişebilir ve bunları değiştirebilir. Admin API Key’e (https://platform.openai.com/settings/organization/admin-keys) sahip herkes de sertifikalara erişebilir/değiştirebilir; ancak dikkatli olun — Mutual TLS’yi kuruluş düzeyinde etkinleştirirseniz bu API isteklerinde de sertifikaları zorunlu kılmış olursunuz. Tüm mTLS değişiklikleri denetim günlüklerinde görünür.
Kaç sertifikam olabilir?
Her kuruluş en fazla 50 sertifika yükleyebilir; bunlar projeler arasında paylaşılabilir ancak diğer kuruluşlarla paylaşılamaz. Bir sertifikayı aynı anda 10 proje için atomik olarak etkinleştirebilir/devre dışı bırakabilirsiniz. Alternatif olarak, kuruluşunuz veya belirli 1 proje için aynı anda 10 sertifikayı etkinleştirebilir/devre dışı bırakabilirsiniz.
Sertifikaları güncelleyebilir veya silebilir miyim?
Sertifikalarınızın adlarını güncelleyebilirsiniz, ancak içeriğini güncelleyemezsiniz. Sertifikalar herhangi bir kapsamda şu anda etkin değilse bunları da silebilirsiniz.
Sertifika iptali nasıl çalışır?
Şu anda CRL’leri veya OCSP stapling’i desteklemiyoruz. Önerilen alternatif, bunun yerine API anahtarınızı silmek veya döndürmektir. CA sertifikalarınızı değiştirebilir veya daha kısa geçerlilik sürelerine sahip istemci sertifikaları kullanabilirsiniz.
Daha uzun uzunlukta sertifika zincirleri kullanabilir miyim?
Şu anda yalnızca tek uzunluklu zincirleri destekliyoruz — yani CA sertifikanız istemci sertifikalarınızı doğrudan imzalamalıdır. Başka sorularınız varsa lütfen Hesap Direktörünüzle iletişime geçin.
Önerilen kurulum nedir?
Bu özelliği ilk kez ayarlarken, resmi üretim trafiğine hizmet etmeyen bir hazırlama projesiyle başlamanızı öneririz. Bu fırsatı, sertifikalarınızın makinelerinizde doğru şekilde ayarlandığından ve API trafiğini başarıyla gönderebildiğinizden emin olmak için kullanın. Bunun dışında, ihtiyaçlarınızı en iyi şekilde anlamak için kuruluşunuzun güvenlik ekibine danışmanızı öneririz.
Ek Destek
mTLS özelliğini pano ve API üzerinden tamamen kendi kendinize yönetebilirsiniz. Ancak mTLS’yi başlangıçta gölge modunda etkinleştirmek isterseniz lütfen Hesap Direktörünüzle iletişime geçin veya bu sayfanın sağ alt köşesinden yeni bir sohbet başlatarak destek talebi açın.
Ek: Terminoloji
CA sertifikası: İsteklerle birlikte göndereceğiniz istemci sertifikalarınızı doğrudan imzalamış olan güvenilir sertifikalarınızdan biri. Kendinden imzalı CA sertifikaları kullanabilirsiniz.
Sertifika yükleme: hesabınıza bir CA sertifikası ekleme. Henüz mTLS için hiçbir yerde zorunlu kılınmaz, ancak yapılandırmaya başlayabilirsiniz.
Kapsam: belirli bir proje veya tüm kuruluşunuz.
Bir CA sertifikasını bir kapsamda etkinleştirme: mTLS’yi özellikle o kapsam için etkinleştirir ve API anahtarına dayalı tüm isteklerin, CA sertifikası tarafından imzalanmış bir istemci sertifikası gerektirmesi gerekir.
Bir CA sertifikasını bir kapsamda devre dışı bırakma: bu kapsamda istekleri doğrulamak için bu sertifikanın kullanımını devre dışı bırakır. Kapsam için hiç sertifikanız kalmadıysa mTLS fiilen kapatılır.
Sertifika devralma: Kuruluşunuz için bir sertifika etkinleştirirseniz bu sertifika tüm projeler için de etkinleştirilir.
