OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

OpenAI Karşılıklı TLS Beta Programı

Güncellenme zamanı: 12 days ago

OpenAI Mutual TLS, kuruluşların OpenAI API trafiği için ek bir güvenlik katmanı yapılandırmasına olanak tanır. Yapılandırıldıktan sonra API istekleri https://mtls.api.openai.com adresine (veya AB veri saklama ve işleme konumu gereksinimleri müşterileri için https://mtls-eu.api.openai.com adresine) yapılmalıdır ve trafik yalnızca doğru API anahtarı ile istemci sertifikası sağlanırsa kabul edilir. mTLS, https://platform.openai.com Panosuna uygulanmaz. Bu özellik şu anda beta aşamasındadır.

mTLS entegrasyonunu nasıl kurarım?

Ayarlar gezinme çubuğunda “Mutual TLS” sekmesini göreceksiniz.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Sertifika Yükle

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Sertifikayı Etkinleştir

Sertifikanızı yükledikten sonra bir sonraki adım, sertifikanızı etkinleştirmektir. Bir proje için sertifika etkinleştirildiğinde, o projeye giden tüm API istekleri ayrıca ilgili bir istemci sertifikası da gerektirmeye başlar. Bir projede birden fazla etkin sertifika varsa, bunlardan herhangi birine karşılık gelen istemci sertifikasını iletebilirsiniz. Kuruluş için bir sertifika etkinleştirilirse, tüm API isteklerine uygulanır ve tüm projeler tarafından “devralınır”.

Image

CA sertifikası gereksinimleri

Aşağıdaki gereksinimleri karşılayan, PEM biçimindeki herhangi bir X.509 CA sertifikasını yükleyebilirsiniz:

  1. isteklerde kullanmayı planladığınız istemci sertifikalarınızı doğrudan imzalar

  2. Certificate Authority, Subject Key Identifier ve Authority Key Identifier (KeyIdentifier biçiminde) uzantılarına sahiptir

  3. Anahtar Kullanımı: “Certificate Sign, CRL Sign” izinlerine sahiptir

  4. 1 gün içinde süresi dolacak şekilde ayarlanmamıştır

  5. toplam sertifika boyutu 16 kb’den küçük olmalıdır.

İstemci sertifikası gereksinimleri

İstemci sertifikaları, önceden yüklediğiniz sertifikalar tarafından doğrudan imzalanmış olmalıdır. Şu anda yalnızca tek uzunluklu sertifika zincirlerini destekliyoruz. Bunun dışında, istemci sertifikalarınızın aşağıdaki gereksinimleri karşılaması gerekir:

  1. Subject Key Identifier ve Authority Key Identifier uzantılarına (KeyIdentifier biçiminde) sahiptir

  2. Anahtar Kullanımı: “Digital Signature, Key Encipherment” izinlerine sahiptir

  3. Genişletilmiş Anahtar Kullanımı: “TLS Web Client Authentication” iznine sahiptir

  4. Subject Alternate Name uzantısına sahiptir

SSS

mTLS’yi API üzerinden yapılandırabilir miyim?

Evet — daha fazla bilgi için API Referansı’nı https://platform.openai.com/docs/api-reference/ adresinde görebilirsiniz.

Hangi uç noktalar mTLS’yi destekliyor?

Bu beta döneminde mTLS resmî olarak şu alanlarda desteklenir

  • /v1/chat/completions (desteklenen tüm uzantılarla birlikte; ör. image, audio, streaming vb.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (sunucu taraflı web soketleri aracılığıyla)

  • /v1/fine_tuning

  • /v1/tunnels

İstemci sertifikalarını isteğimle nasıl gönderirim?

Bir cURL isteği için --cert ve --key seçeneklerini kullanabilirsiniz (man sayfasını burada görebilirsiniz). Diğer HTTP istemcilerinin çoğunda da istemci sertifikalarını iletmenin yolları vardır. Örnekler: Python’da requests, js’de fetch. Resmî SDK’larımız aracılığıyla HTTP istemcisini geçersiz kılmayı da destekliyoruz — Python örneği için buraya bakın.

Üretim trafiği için mTLS’yi zorunlu kılmadan önce, kullandığınız HTTP istemcisinin istemci sertifikası istekleriyle düzgün çalıştığından emin olun (örneğin bazıları, belirli tarayıcılardaki WebSocket’ler, çalışmaz). Sunucumuzun, istemci sertifikası isteğinde certificate_authorities listesi sağlamadığını unutmayın.

Sertifikalara kim erişebilir ve onları değiştirebilir?

https://platform.openai.com/settings/organization/mtls Pano arayüzü üzerinden, kuruluş sahipleri sertifikalara erişebilir ve onları değiştirebilir. Yönetici API Anahtarına sahip herkes (https://platform.openai.com/settings/organization/admin-keys) de sertifikalara erişebilir/değiştirebilir; ancak dikkat edin — kuruluş düzeyinde Mutual TLS’yi etkinleştirirseniz, bu API isteklerinde de sertifikaları zorunlu kılmış olursunuz. Tüm mTLS değişiklikleri denetim günlüklerinde görünür.

Kaç sertifikam olabilir?

Her kuruluş en fazla 50 sertifika yükleyebilir; bunlar projeler arasında paylaşılabilir ancak başka kuruluşlarla paylaşılamaz. Bir sertifikayı aynı anda 10 proje için atomik olarak etkinleştirebilir/devre dışı bırakabilirsiniz. Alternatif olarak, kuruluşunuz için veya belirli 1 proje için aynı anda 10 sertifikayı etkinleştirebilir/devre dışı bırakabilirsiniz.

Sertifikaları güncelleyebilir veya silebilir miyim?

Sertifikalarınızın adlarını güncelleyebilirsiniz, ancak içeriklerini güncelleyemezsiniz. Ayrıca, herhangi bir kapsamda şu anda etkin değillerse sertifikaları silebilirsiniz.

Sertifika iptali nasıl çalışır?

Şu anda CRL’leri veya OCSP stapling’i desteklemiyoruz. Bunun yerine önerilen alternatif, API anahtarınızı silmek veya döndürmektir. CA sertifikalarınızı da değiştirebilir veya daha kısa geçerlilik sürelerine sahip istemci sertifikaları kullanabilirsiniz.

Daha uzun sertifika zincirleri kullanabilir miyim?

Şu anda yalnızca tek uzunluklu zincirleri destekliyoruz — yani CA sertifikanız istemci sertifikalarınızı doğrudan imzalamalıdır. Başka sorularınız varsa lütfen Müşteri Yöneticinizle iletişime geçin.

Önerilen kurulum nedir?

Bu özelliği ilk kez kurarken, resmî üretim trafiğine hizmet etmeyen bir hazırlık projesiyle başlamanızı öneririz. Bu fırsatı, sertifikalarınızın makinelerinizde doğru şekilde kurulduğundan ve API trafiğini başarıyla gönderebildiğinizden emin olmak için kullanın. Bunun dışında, ihtiyaçlarınızı en iyi şekilde anlamak için kuruluşunuzun güvenlik ekibine danışmanızı öneririz.

Ek Destek

mTLS özelliğini pano ve API üzerinden tamamen self servis olarak kullanabilirsiniz. Ancak, mTLS’yi başlangıçta gölge modunda etkinleştirmek isterseniz lütfen Müşteri Yöneticinizle iletişime geçin veya bu sayfanın sağ alt köşesinden yeni bir sohbet başlatarak destek talebi oluşturun.

Ek: Terminoloji

  • CA sertifikası: İsteklerle birlikte göndereceğiniz istemci sertifikalarınızı doğrudan imzalamış güvenilir sertifikalarınızdan biri. Kendinden imzalı CA sertifikaları kullanabilirsiniz.

  • Bir sertifika yüklemek: hesabınıza bir CA sertifikası eklemek. Henüz hiçbir yerde mTLS için zorunlu kılınmaz, ancak yapılandırmaya başlayabilirsiniz.

  • Kapsam: belirli bir proje veya tüm kuruluşunuz.

  • Bir kapsamda CA sertifikasını etkinleştirmek: mTLS’yi özellikle o kapsam için etkinleştirir ve API anahtarı tabanlı tüm istekler, CA sertifikası tarafından imzalanmış bir istemci sertifikası gerektirir.

  • Bir kapsamda CA sertifikasını devre dışı bırakmak: bu sertifikanın bu kapsamda istekleri doğrulamak için kullanımını devre dışı bırakır. Kapsam için hiç sertifikanız kalmazsa mTLS fiilen kapatılmış olur.

  • Bir sertifikanın devralınması: Kuruluşunuz için bir sertifikayı etkinleştirirseniz, tüm projeler için de etkinleştirilir.

Bu makale yararlı oldu mu?