OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Chương trình beta Mutual TLS của OpenAI

Đã cập nhật: 3 days ago

Mutual TLS của OpenAI cho phép các tổ chức cấu hình thêm một lớp bảo mật cho lưu lượng API OpenAI của họ. Sau khi cấu hình, các yêu cầu API phải được gửi tới https://mtls.api.openai.com (hoặc https://mtls-eu.api.openai.com cho khách hàng nơi lưu trú dữ liệu EU), và lưu lượng sẽ chỉ được chấp nhận nếu cung cấp đúng khóa API và chứng chỉ ứng dụng khách. mTLS không áp dụng cho Bảng điều khiển https://platform.openai.com. Tính năng này hiện đang ở giai đoạn beta.

Làm cách nào để thiết lập tích hợp mTLS?

Trên thanh điều hướng cài đặt, bạn sẽ thấy tab “Mutual TLS”.

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Tải chứng chỉ lên

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Kích hoạt chứng chỉ

Sau khi tải chứng chỉ lên, bước tiếp theo là kích hoạt chứng chỉ của bạn. Khi một chứng chỉ được kích hoạt cho dự án, mọi yêu cầu API gửi tới dự án đó sẽ bắt đầu yêu cầu cả chứng chỉ ứng dụng khách tương ứng. Nếu một dự án có nhiều chứng chỉ được kích hoạt, bạn có thể gửi bất kỳ chứng chỉ ứng dụng khách tương ứng nào. Nếu một chứng chỉ được kích hoạt cho tổ chức, nó sẽ áp dụng cho mọi yêu cầu API và được “kế thừa” bởi tất cả dự án.

Image

Yêu cầu đối với chứng chỉ CA

Bạn có thể tải lên bất kỳ chứng chỉ CA X.509 nào ở định dạng PEM đáp ứng các yêu cầu sau:

  1. ký trực tiếp các chứng chỉ ứng dụng khách mà bạn dự định dùng để gửi yêu cầu

  2. có các phần mở rộng Certificate Authority, Subject Key IdentifierAuthority Key Identifier (ở định dạng KeyIdentifier)

  3. có quyền Key Usage: “Certificate Sign, CRL Sign

  4. không được đặt hết hạn trong vòng 1 ngày

  5. tổng kích thước chứng chỉ phải nhỏ hơn 16kb.

Yêu cầu đối với chứng chỉ ứng dụng khách

Chứng chỉ ứng dụng khách phải được các chứng chỉ bạn đã tải lên trước đó ký trực tiếp. Hiện tại, chúng tôi chỉ hỗ trợ chuỗi chứng chỉ một cấp. Ngoài điều này, chứng chỉ ứng dụng khách của bạn phải đáp ứng các yêu cầu sau:

  1. có phần mở rộng Subject Key IdentifierAuthority Key Identifier (ở định dạng KeyIdentifier)

  2. có quyền Key Usage: “Digital Signature, Key Encipherment

  3. có quyền Extended Key Usage: “TLS Web Client Authentication

  4. có phần mở rộng Subject Alternate Name

Câu hỏi thường gặp

Tôi có thể cấu hình mTLS qua API không?

Có — bạn có thể xem Tài liệu tham khảo API tại https://platform.openai.com/docs/api-reference/ để biết thêm thông tin.

Những điểm cuối nào hỗ trợ mTLS?

Trong giai đoạn beta này, mTLS được hỗ trợ chính thức trong

  • /v1/chat/completions (với tất cả tiện ích mở rộng được hỗ trợ như image, audio, streaming, v.v.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (qua web socket phía máy chủ)

  • /v1/fine_tuning

  • /v1/tunnels

Làm cách nào để gửi chứng chỉ ứng dụng khách cùng yêu cầu của tôi?

Với yêu cầu cURL, bạn có thể dùng các tùy chọn --cert và --key (xem trang hướng dẫn sử dụng tại đây). Trong hầu hết các ứng dụng khách HTTP khác, cũng có cách để truyền chứng chỉ ứng dụng khách. Ví dụ: requests trong python, fetch trong js. Thông qua các SDK chính thức của chúng tôi, chúng tôi cũng hỗ trợ ghi đè ứng dụng khách HTTP — xem tại đây để xem ví dụ bằng Python.

Trước khi áp dụng mTLS cho lưu lượng production, hãy bảo đảm ứng dụng khách HTTP bạn đang dùng hoạt động tốt với các yêu cầu chứng chỉ ứng dụng khách (một số loại, như WebSockets trong một số trình duyệt, thì không). Lưu ý rằng máy chủ của chúng tôi không cung cấp danh sách certificate_authorities trong yêu cầu chứng chỉ ứng dụng khách.

Ai có thể truy cập và chỉnh sửa chứng chỉ?

Thông qua giao diện Bảng điều khiển https://platform.openai.com/settings/organization/mtls, các chủ sở hữu tổ chức có thể truy cập và chỉnh sửa chứng chỉ. Bất kỳ ai có Khóa API quản trị (https://platform.openai.com/settings/organization/admin-keys) cũng có thể truy cập/chỉnh sửa chứng chỉ, nhưng hãy lưu ý — nếu bạn kích hoạt Mutual TLS ở cấp tổ chức, bạn cũng sẽ áp dụng bắt buộc chứng chỉ cho các yêu cầu API này. Mọi thay đổi mTLS đều hiển thị trong nhật ký kiểm tra.

Tôi có thể có bao nhiêu chứng chỉ?

Mỗi tổ chức có thể tải lên tối đa 50 chứng chỉ; các chứng chỉ này có thể được chia sẻ giữa các dự án nhưng không thể chia sẻ với tổ chức khác. Bạn có thể kích hoạt/hủy kích hoạt một chứng chỉ theo cách nguyên tử cho 10 dự án mỗi lần. Hoặc, bạn có thể kích hoạt/hủy kích hoạt 10 chứng chỉ mỗi lần cho tổ chức của mình hoặc cho 1 dự án cụ thể.

Tôi có thể cập nhật hoặc xóa chứng chỉ không?

Bạn có thể cập nhật tên chứng chỉ của mình, nhưng không thể cập nhật nội dung. Bạn cũng có thể xóa chứng chỉ nếu hiện tại chúng không hoạt động ở bất kỳ phạm vi nào.

Việc thu hồi chứng chỉ hoạt động như thế nào?

Hiện tại, chúng tôi không hỗ trợ CRL hoặc OCSP stapling. Giải pháp thay thế được khuyến nghị là xóa hoặc luân phiên khóa API của bạn. Bạn cũng có thể thay chứng chỉ CA hoặc dùng chứng chỉ ứng dụng khách có thời hạn hiệu lực ngắn hơn.

Tôi có thể dùng chuỗi chứng chỉ dài hơn không?

Hiện tại, chúng tôi chỉ hỗ trợ chuỗi một cấp — tức là chứng chỉ CA của bạn phải ký trực tiếp các chứng chỉ ứng dụng khách. Vui lòng liên hệ với Giám đốc phụ trách tài khoản của bạn nếu bạn có thêm câu hỏi.

Thiết lập nào được khuyến nghị?

Khi mới thiết lập tính năng này, chúng tôi khuyên bạn nên bắt đầu với một dự án staging không phục vụ lưu lượng production chính thức. Hãy tận dụng cơ hội này để bảo đảm chứng chỉ của bạn được thiết lập đúng trên máy và bạn có thể gửi lưu lượng API thành công. Ngoài ra, chúng tôi khuyên bạn nên tham khảo nhóm bảo mật của tổ chức để hiểu rõ nhất nhu cầu của mình.

Hỗ trợ thêm

Bạn có thể hoàn toàn tự thao tác tính năng mTLS qua bảng điều khiển và API. Tuy nhiên, nếu trước tiên bạn muốn bật mTLS ở chế độ shadow, vui lòng liên hệ với Giám đốc phụ trách tài khoản của bạn hoặc mở phiếu hỗ trợ bằng cách bắt đầu cuộc trò chuyện mới ở góc dưới bên phải của trang này.

Phụ lục: Thuật ngữ

  • Chứng chỉ CA: Một trong các chứng chỉ đáng tin cậy của bạn đã ký trực tiếp các chứng chỉ ứng dụng khách mà bạn sẽ gửi kèm yêu cầu. Bạn có thể dùng chứng chỉ CA tự ký.

  • Tải lên một chứng chỉ: thêm một chứng chỉ CA vào tài khoản của bạn. Nó chưa được áp dụng ở đâu cho mTLS, nhưng bạn có thể bắt đầu cấu hình nó.

  • Phạm vi: một dự án cụ thể hoặc toàn bộ tổ chức của bạn.

  • Kích hoạt chứng chỉ CA ở một phạm vi: bật mTLS cho phạm vi đó, và mọi yêu cầu dựa trên khóa API sẽ cần có chứng chỉ ứng dụng khách được chứng chỉ CA đó ký.

  • Hủy kích hoạt chứng chỉ CA ở một phạm vi: vô hiệu hóa việc dùng chứng chỉ này để xác minh yêu cầu trong phạm vi này. Nếu bạn không còn chứng chỉ nào cho phạm vi đó, mTLS sẽ bị tắt trên thực tế.

  • Kế thừa một chứng chỉ: Nếu bạn kích hoạt một chứng chỉ cho tổ chức của mình, nó cũng sẽ được kích hoạt cho tất cả dự án.

Bài viết này có hữu ích không?