OpenAI Mutual TLS cho phép các tổ chức cấu hình một lớp bảo mật bổ sung cho lưu lượng OpenAI API của họ. Sau khi cấu hình, các yêu cầu API nên được gửi đến https://mtls.api.openai.com (hoặc https://mtls-eu.api.openai.com cho khách hàng Nơi lưu trú dữ liệu tại EU) và lưu lượng sẽ chỉ được chấp nhận nếu cung cấp đúng khóa API và chứng chỉ máy khách. mTLS không áp dụng cho Bảng điều khiển https://platform.openai.com. Tính năng này hiện đang ở giai đoạn beta.
Làm cách nào để thiết lập tích hợp mTLS?
Trên thanh điều hướng cài đặt, bạn sẽ thấy thẻ “Mutual TLS”.
Tải lên chứng chỉ
Kích hoạt chứng chỉ
Sau khi tải chứng chỉ của bạn lên, bước tiếp theo là kích hoạt chứng chỉ của bạn. Sau khi một chứng chỉ được kích hoạt cho một dự án, tất cả yêu cầu API đi đến dự án đó cũng sẽ bắt đầu yêu cầu chứng chỉ máy khách tương ứng. Nếu một dự án có nhiều chứng chỉ được kích hoạt, bạn có thể truyền vào bất kỳ chứng chỉ máy khách tương ứng nào. Nếu một chứng chỉ được kích hoạt cho tổ chức, chứng chỉ đó sẽ áp dụng cho tất cả yêu cầu API và được tất cả dự án “kế thừa”.
Yêu cầu đối với chứng chỉ CA
Bạn có thể tải lên bất kỳ chứng chỉ CA X.509 nào ở định dạng PEM đáp ứng các yêu cầu sau:
ký trực tiếp các chứng chỉ máy khách mà bạn dự định dùng để gửi yêu cầu
có các phần mở rộng Certificate Authority, Subject Key Identifier và Authority Key Identifier (ở định dạng KeyIdentifier)
có Key Usage: quyền “Certificate Sign, CRL Sign”
không được đặt hết hạn trong vòng 1 ngày
tổng kích thước chứng chỉ phải nhỏ hơn 16kb.
Yêu cầu đối với chứng chỉ máy khách
Chứng chỉ máy khách phải được các chứng chỉ bạn đã tải lên trước đó ký trực tiếp. Hiện tại, chúng tôi chỉ hỗ trợ chuỗi chứng chỉ có độ dài một cấp. Ngoài ra, chứng chỉ máy khách của bạn phải đáp ứng các yêu cầu sau:
có phần mở rộng Subject Key Identifier và Authority Key Identifier (ở định dạng KeyIdentifier)
có Key Usage: quyền “Digital Signature, Key Encipherment”
có Extended Key Usage: quyền “TLS Web Client Authentication”
có phần mở rộng Subject Alternate Name
Câu hỏi thường gặp
Tôi có thể cấu hình mTLS qua API không?
Có — bạn có thể xem Tài liệu tham khảo API tại https://platform.openai.com/docs/api-reference/ để biết thêm thông tin.
Những điểm cuối nào hỗ trợ mTLS?
Trong giai đoạn beta này, mTLS được hỗ trợ chính thức trong
/v1/chat/completions (with all supported extensions e.g. image, audio, streaming, etc.)/v1/completions/v1/embeddings/v1/audio/transcriptions/v1/audio/speech/v1/files/v1/batches/v1/responses/v1/images/v1/moderations/v1/realtime (via server-side web sockets)/v1/fine_tuning/v1/tunnels
Làm cách nào để gửi chứng chỉ máy khách cùng với yêu cầu của tôi?
Đối với yêu cầu cURL, bạn có thể dùng các tùy chọn --cert và --key (xem trang hướng dẫn tại đây). Trong hầu hết các ứng dụng khách HTTP khác, cũng có các cách để truyền chứng chỉ máy khách. Ví dụ: requests trong python, fetch trong js. Thông qua các SDK chính thức của chúng tôi, chúng tôi cũng hỗ trợ ghi đè ứng dụng khách HTTP — xem tại đây để biết ví dụ bằng Python.
Trước khi thực thi mTLS cho lưu lượng sản xuất, hãy đảm bảo ứng dụng khách HTTP bạn đang dùng hoạt động tốt với các yêu cầu chứng chỉ máy khách (một số, chẳng hạn như WebSockets trong một số trình duyệt nhất định, thì không). Lưu ý rằng máy chủ của chúng tôi không cung cấp danh sách certificate_authorities trong yêu cầu chứng chỉ máy khách.
Ai có thể truy cập và sửa đổi chứng chỉ?
Thông qua giao diện Bảng điều khiển https://platform.openai.com/settings/organization/mtls, chủ sở hữu tổ chức có thể truy cập và sửa đổi chứng chỉ. Bất kỳ ai có Khóa API quản trị (https://platform.openai.com/settings/organization/admin-keys) cũng có thể truy cập/sửa đổi chứng chỉ, tuy nhiên hãy lưu ý — nếu bạn kích hoạt Mutual TLS ở cấp tổ chức, bạn cũng sẽ thực thi chứng chỉ đối với các yêu cầu API này. Mọi thay đổi mTLS đều hiển thị trong nhật ký kiểm tra.
Tôi có thể có bao nhiêu chứng chỉ?
Mỗi tổ chức có thể tải lên tối đa 50 chứng chỉ, có thể được chia sẻ giữa các dự án nhưng không chia sẻ với tổ chức khác. Bạn có thể kích hoạt/hủy kích hoạt một chứng chỉ một cách nguyên tử cho 10 dự án cùng lúc. Ngoài ra, bạn có thể kích hoạt/hủy kích hoạt 10 chứng chỉ cùng lúc cho tổ chức của mình hoặc cho 1 dự án cụ thể.
Tôi có thể cập nhật hoặc xóa chứng chỉ không?
Bạn có thể cập nhật tên chứng chỉ của mình, nhưng không thể cập nhật nội dung. Bạn cũng có thể xóa chứng chỉ nếu chúng hiện không hoạt động ở bất kỳ phạm vi nào.
Việc thu hồi chứng chỉ hoạt động như thế nào?
Hiện tại, chúng tôi không hỗ trợ CRL hoặc OCSP stapling. Phương án thay thế được khuyến nghị là xóa hoặc luân chuyển khóa API của bạn. Bạn cũng có thể thay chứng chỉ CA hoặc dùng chứng chỉ máy khách có thời hạn hiệu lực ngắn hơn.
Tôi có thể dùng chuỗi chứng chỉ dài hơn không?
Hiện tại, chúng tôi chỉ hỗ trợ chuỗi có độ dài một cấp — tức là chứng chỉ CA của bạn phải ký trực tiếp chứng chỉ máy khách của bạn. Vui lòng liên hệ với Giám đốc tài khoản của bạn nếu bạn có thêm câu hỏi.
Thiết lập được khuyến nghị là gì?
Khi thiết lập tính năng này lần đầu, chúng tôi khuyên bạn nên bắt đầu bằng một dự án staging không phục vụ lưu lượng sản xuất chính thức. Hãy tận dụng cơ hội này để đảm bảo chứng chỉ của bạn được thiết lập đúng cách trên máy của bạn và bạn có thể gửi lưu lượng API thành công. Ngoài ra, chúng tôi khuyên bạn nên tham khảo ý kiến nhóm bảo mật của tổ chức để hiểu rõ nhất nhu cầu của bạn.
Hỗ trợ bổ sung
Bạn có thể tự phục vụ hoàn toàn tính năng mTLS qua bảng điều khiển và API. Tuy nhiên, nếu bạn muốn bật mTLS ở chế độ bóng trước tiên, vui lòng liên hệ với Giám đốc tài khoản của bạn hoặc mở phiếu hỗ trợ bằng cách bắt đầu cuộc trò chuyện mới ở góc dưới bên phải của trang này.
Phụ lục: Thuật ngữ
Chứng chỉ CA: Một trong các chứng chỉ đáng tin cậy của bạn đã ký trực tiếp các chứng chỉ máy khách mà bạn sẽ gửi cùng yêu cầu. Bạn có thể sử dụng chứng chỉ CA tự ký.
Tải lên chứng chỉ: thêm chứng chỉ CA vào tài khoản của bạn. Chứng chỉ này chưa được thực thi ở đâu cho mTLS, nhưng bạn có thể bắt đầu cấu hình.
Phạm vi: một dự án cụ thể hoặc toàn bộ tổ chức của bạn.
Kích hoạt chứng chỉ CA ở một phạm vi: bật mTLS riêng cho phạm vi đó, và tất cả các yêu cầu dựa trên khóa API sẽ cần chứng chỉ máy khách được ký bởi chứng chỉ CA.
Hủy kích hoạt chứng chỉ CA ở một phạm vi: tắt việc sử dụng chứng chỉ này để xác minh yêu cầu ở phạm vi này. Nếu bạn không còn chứng chỉ nào cho phạm vi đó, mTLS trên thực tế sẽ bị tắt.
Kế thừa chứng chỉ: Nếu bạn kích hoạt một chứng chỉ cho tổ chức của mình, chứng chỉ đó cũng sẽ được kích hoạt cho tất cả dự án.
