OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

OpenAI Karşılıklı TLS Beta Programı

Güncellenme zamanı: 27 days ago

OpenAI Mutual TLS, kuruluşların OpenAI API trafiği için ek bir güvenlik katmanı yapılandırmasına olanak tanır. Yapılandırıldıktan sonra API istekleri https://mtls.api.openai.com adresine (veya AB veri saklama ve işleme konumu gereksinimleri kapsamındaki müşteriler için https://mtls-eu.api.openai.com adresine) yapılmalıdır ve trafik yalnızca doğru API anahtarı ve istemci sertifikası sağlanırsa kabul edilir. mTLS, https://platform.openai.com Panosu için geçerli değildir. Bu özellik şu anda beta aşamasındadır.

mTLS entegrasyonunu nasıl ayarlarım?

Ayarlar gezinme çubuğunda “Karşılıklı TLS” sekmesini görürsünüz.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Sertifika Yükle

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Sertifikayı Etkinleştir

Sertifikanızı yükledikten sonra bir sonraki adım sertifikanızı etkinleştirmektir. Bir sertifika bir proje için etkinleştirildiğinde, o projeye giden tüm API istekleri karşılık gelen bir istemci sertifikası da gerektirmeye başlar. Bir projede birden fazla sertifika etkinleştirilmişse karşılık gelen herhangi bir istemci sertifikasını iletebilirsiniz. Bir sertifika kuruluş için etkinleştirilirse tüm API isteklerine uygulanır ve tüm projeler tarafından “devralınır”.

Image

CA sertifikası gereksinimleri

Aşağıdaki gereksinimleri karşılayan PEM formatındaki herhangi bir X.509 CA sertifikasını yükleyebilirsiniz:

  1. istek yapmak için kullanmayı planladığınız istemci sertifikalarınızı doğrudan imzalar

  2. Certificate Authority, Subject Key Identifier ve Authority Key Identifier (KeyIdentifier formatında) uzantılarına sahiptir

  3. Key Usage: “Certificate Sign, CRL Sign” izinlerine sahiptir

  4. 1 gün içinde süresi dolacak şekilde ayarlanmamıştır

  5. toplam sertifika boyutu 16 kb’den küçük olmalıdır.

İstemci sertifikası gereksinimleri

İstemci sertifikaları, önceden yüklediğiniz sertifikalar tarafından doğrudan imzalanmış olmalıdır. Şu anda yalnızca tek uzunluklu sertifika zincirlerini destekliyoruz. Bunun dışında, istemci sertifikalarınız aşağıdaki gereksinimleri karşılamalıdır:

  1. Subject Key Identifier ve Authority Key Identifier uzantısına (KeyIdentifier formatında) sahiptir

  2. Key Usage: “Digital Signature, Key Encipherment” izinlerine sahiptir

  3. Extended Key Usage: “TLS Web Client Authentication” iznine sahiptir

  4. Subject Alternate Name uzantısına sahiptir

SSS

mTLS’yi API üzerinden yapılandırabilir miyim?

Evet — daha fazla bilgi için https://platform.openai.com/docs/api-reference/ adresindeki API Referansı’na bakabilirsiniz.

Hangi uç noktalar mTLS’yi destekliyor?

Bu beta dönemi boyunca mTLS resmi olarak şuralarda desteklenir:

  • /v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (via server-side web sockets)

  • /v1/fine_tuning

  • /v1/tunnels

İstemci sertifikalarını isteğimle nasıl gönderirim?

Bir cURL isteği için --cert ve --key seçeneklerini kullanabilirsiniz (man sayfasına buradan bakın). Diğer çoğu HTTP istemcisinde de istemci sertifikalarını iletmenin yolları vardır. Örnekler: Python’da requests, JS’de fetch. Resmi SDK’larımız aracılığıyla HTTP istemcisini geçersiz kılmayı da destekliyoruz — Python örneği için buraya bakın.

Üretim trafiği için mTLS’yi zorunlu kılmadan önce, kullandığınız HTTP istemcisinin istemci sertifikası istekleriyle iyi çalıştığından emin olun (belirli tarayıcılardaki WebSockets gibi bazıları iyi çalışmaz). Sunucumuzun istemci sertifikası isteğinde certificate_authorities listesi sağlamadığını unutmayın.

Sertifikalara kimler erişebilir ve bunları değiştirebilir?

https://platform.openai.com/settings/organization/mtls Pano kullanıcı arayüzü aracılığıyla kuruluş sahipleri sertifikalara erişebilir ve bunları değiştirebilir. Admin API Key’e (https://platform.openai.com/settings/organization/admin-keys) sahip herkes de sertifikalara erişebilir/değiştirebilir; ancak dikkatli olun — Mutual TLS’yi kuruluş düzeyinde etkinleştirirseniz bu API isteklerinde de sertifikaları zorunlu kılmış olursunuz. Tüm mTLS değişiklikleri denetim günlüklerinde görünür.

Kaç sertifikam olabilir?

Her kuruluş en fazla 50 sertifika yükleyebilir; bunlar projeler arasında paylaşılabilir ancak diğer kuruluşlarla paylaşılamaz. Bir sertifikayı aynı anda 10 proje için atomik olarak etkinleştirebilir/devre dışı bırakabilirsiniz. Alternatif olarak, kuruluşunuz veya belirli 1 proje için aynı anda 10 sertifikayı etkinleştirebilir/devre dışı bırakabilirsiniz.

Sertifikaları güncelleyebilir veya silebilir miyim?

Sertifikalarınızın adlarını güncelleyebilirsiniz, ancak içeriğini güncelleyemezsiniz. Sertifikalar herhangi bir kapsamda şu anda etkin değilse bunları da silebilirsiniz.

Sertifika iptali nasıl çalışır?

Şu anda CRL’leri veya OCSP stapling’i desteklemiyoruz. Önerilen alternatif, bunun yerine API anahtarınızı silmek veya döndürmektir. CA sertifikalarınızı değiştirebilir veya daha kısa geçerlilik sürelerine sahip istemci sertifikaları kullanabilirsiniz.

Daha uzun uzunlukta sertifika zincirleri kullanabilir miyim?

Şu anda yalnızca tek uzunluklu zincirleri destekliyoruz — yani CA sertifikanız istemci sertifikalarınızı doğrudan imzalamalıdır. Başka sorularınız varsa lütfen Hesap Direktörünüzle iletişime geçin.

Önerilen kurulum nedir?

Bu özelliği ilk kez ayarlarken, resmi üretim trafiğine hizmet etmeyen bir hazırlama projesiyle başlamanızı öneririz. Bu fırsatı, sertifikalarınızın makinelerinizde doğru şekilde ayarlandığından ve API trafiğini başarıyla gönderebildiğinizden emin olmak için kullanın. Bunun dışında, ihtiyaçlarınızı en iyi şekilde anlamak için kuruluşunuzun güvenlik ekibine danışmanızı öneririz.

Ek Destek

mTLS özelliğini pano ve API üzerinden tamamen kendi kendinize yönetebilirsiniz. Ancak mTLS’yi başlangıçta gölge modunda etkinleştirmek isterseniz lütfen Hesap Direktörünüzle iletişime geçin veya bu sayfanın sağ alt köşesinden yeni bir sohbet başlatarak destek talebi açın.

Ek: Terminoloji

  • CA sertifikası: İsteklerle birlikte göndereceğiniz istemci sertifikalarınızı doğrudan imzalamış olan güvenilir sertifikalarınızdan biri. Kendinden imzalı CA sertifikaları kullanabilirsiniz.

  • Sertifika yükleme: hesabınıza bir CA sertifikası ekleme. Henüz mTLS için hiçbir yerde zorunlu kılınmaz, ancak yapılandırmaya başlayabilirsiniz.

  • Kapsam: belirli bir proje veya tüm kuruluşunuz.

  • Bir CA sertifikasını bir kapsamda etkinleştirme: mTLS’yi özellikle o kapsam için etkinleştirir ve API anahtarına dayalı tüm isteklerin, CA sertifikası tarafından imzalanmış bir istemci sertifikası gerektirmesi gerekir.

  • Bir CA sertifikasını bir kapsamda devre dışı bırakma: bu kapsamda istekleri doğrulamak için bu sertifikanın kullanımını devre dışı bırakır. Kapsam için hiç sertifikanız kalmadıysa mTLS fiilen kapatılır.

  • Sertifika devralma: Kuruluşunuz için bir sertifika etkinleştirirseniz bu sertifika tüm projeler için de etkinleştirilir.

Bu makale yararlı oldu mu?