OpenAI
Questa pagina è stata tradotta automaticamente. Visualizza l'articolo originale in inglese.

Programma beta OpenAI Mutual TLS

Aggiornato: 5 days ago

OpenAI Mutual TLS consente alle organizzazioni di configurare un ulteriore livello di sicurezza per il traffico OpenAI API. Una volta configurato, le richieste API devono essere inviate a https://mtls.api.openai.com (o a https://mtls-eu.api.openai.com per i clienti con residenza dei dati nell'UE) e il traffico sarà accettato solo se vengono forniti la chiave API e il certificato client corretti. mTLS non si applica alla Dashboard https://platform.openai.com. Questa funzionalità è attualmente in beta.

Come configuro l'integrazione mTLS?

Nella barra di navigazione delle impostazioni vedrai una scheda «Mutual TLS».

Mutual TLS settings page prompting the user to upload a client certificate to enable mTLS

Carica certificato

Upload a certificate dialog for mutual TLS with name field and PEM certificate text area

Attiva certificato

Dopo aver caricato il certificato, il passaggio successivo è attivarlo. Una volta che un certificato è attivato per un progetto, tutte le richieste API verso quel progetto richiederanno anche un certificato client corrispondente. Se un progetto ha più certificati attivati, puoi fornire qualsiasi certificato client corrispondente. Se un certificato è attivato per l'organizzazione, si applicherà a tutte le richieste API e sarà «ereditato» da tutti i progetti.

Image

Requisiti del certificato CA

Puoi caricare qualsiasi certificato CA X.509 in formato PEM che soddisfi i seguenti requisiti:

  1. firma direttamente i certificati client che prevedi di usare per inviare richieste

  2. ha le estensioni Certificate Authority, Subject Key Identifier e Authority Key Identifier (in formato KeyIdentifier)

  3. ha i permessi Key Usage: «Certificate Sign, CRL Sign»

  4. non è impostato per scadere entro 1 giorno

  5. la dimensione totale del certificato deve essere inferiore a 16 kb.

Requisiti del certificato client

I certificati client devono essere firmati direttamente dai certificati che hai caricato in anticipo. Al momento supportiamo solo catene di certificati a lunghezza singola. A parte questo, i certificati client devono soddisfare i seguenti requisiti:

  1. ha le estensioni Subject Key Identifier e Authority Key Identifier (in formato KeyIdentifier)

  2. ha i permessi Key Usage: «Digital Signature, Key Encipherment»

  3. ha il permesso Extended Key Usage: «TLS Web Client Authentication»

  4. ha l'estensione Subject Alternate Name

FAQ

Posso configurare mTLS tramite API?

Sì — per ulteriori informazioni puoi consultare il riferimento API su https://platform.openai.com/docs/api-reference/.

Quali endpoint supportano mTLS?

Durante questo periodo di beta, mTLS è ufficialmente supportato in

  • /v1/chat/completions (con tutte le estensioni supportate, ad es. immagine, audio, streaming, ecc.)

  • /v1/completions

  • /v1/embeddings

  • /v1/audio/transcriptions

  • /v1/audio/speech

  • /v1/files

  • /v1/batches

  • /v1/responses

  • /v1/images

  • /v1/moderations

  • /v1/realtime (tramite WebSocket lato server)

  • /v1/fine_tuning

  • /v1/tunnels

Come invio i certificati client con la mia richiesta?

Per una richiesta cURL, puoi usare le opzioni --cert e --key (vedi la pagina man qui). Anche nella maggior parte degli altri client HTTP esistono modi per passare certificati client. Esempi: requests in Python, fetch in js. Anche tramite i nostri SDK ufficiali supportiamo la sostituzione del client HTTP — vedi qui per un esempio in Python.

Prima di imporre mTLS per il traffico di produzione, assicurati che il client HTTP che stai usando gestisca bene le richieste di certificati client (alcuni, come i WebSocket in certi browser, non lo fanno). Tieni presente che il nostro server non fornisce un certificate_authorities elenco nella richiesta del certificato client.

Chi può accedere e modificare i certificati?

Tramite l'interfaccia Dashboard https://platform.openai.com/settings/organization/mtls, i proprietari dell'organizzazione possono accedere e modificare i certificati. Chiunque disponga di una Admin API Key (https://platform.openai.com/settings/organization/admin-keys) può anche accedere/modificare i certificati, ma attenzione: se attivi Mutual TLS a livello di organizzazione, imporrai i certificati anche per queste richieste API. Tutte le modifiche mTLS sono visibili nei log di audit.

Quanti certificati posso avere?

Ogni organizzazione può caricare fino a 50 certificati, che possono essere condivisi tra progetti ma non con altre organizzazioni. Puoi attivare/disattivare atomicamente un certificato per 10 progetti alla volta. In alternativa, puoi attivare/disattivare 10 certificati alla volta per la tua organizzazione o per 1 progetto specifico.

Posso aggiornare o eliminare i certificati?

Puoi aggiornare i nomi dei certificati, ma non il contenuto. Puoi anche eliminare i certificati se al momento non sono attivi in alcun ambito.

Come funziona la revoca dei certificati?

Al momento non supportiamo CRL né OCSP stapling. L'alternativa consigliata è invece eliminare o ruotare la chiave API. Puoi anche sostituire i certificati CA o usare certificati client con periodi di validità più brevi.

Posso usare catene di certificati più lunghe?

Al momento supportiamo solo catene a lunghezza singola, cioè il certificato CA deve firmare direttamente i certificati client. Contatta il tuo Account Director se hai altre domande.

Qual è la configurazione consigliata?

Quando configuri inizialmente questa funzionalità, consigliamo di iniziare con un progetto di staging che non gestisca il traffico di produzione ufficiale. Sfrutta questa opportunità per assicurarti che i certificati siano configurati correttamente sulle tue macchine e che tu possa inviare con successo traffico API. Inoltre, consigliamo di consultare il team di sicurezza della tua organizzazione per comprendere al meglio le tue esigenze.

Supporto aggiuntivo

Puoi usare in autonomia completamente la funzionalità mTLS tramite dashboard e API. Tuttavia, se desideri abilitare inizialmente mTLS in modalità shadow, contatta il tuo Account Director oppure apri un ticket di supporto avviando una nuova chat nell'angolo in basso a destra di questa pagina.

Appendice: terminologia

  • Certificato CA: uno dei tuoi certificati attendibili che ha firmato direttamente i certificati client che invierai con le richieste. Puoi tranquillamente usare certificati CA autofirmati.

  • Caricare un certificato: aggiungere un certificato CA al tuo account. Non viene ancora applicato da nessuna parte per mTLS, ma puoi iniziare a configurarlo.

  • Ambito: un progetto specifico o l'intera organizzazione.

  • Attivare un certificato CA in un ambito: abilita mTLS specificamente per quell'ambito e tutte le richieste basate su chiave API dovranno richiedere un certificato client firmato dal certificato CA.

  • Disattivare un certificato CA in un ambito: disabilita l'uso di questo certificato per verificare le richieste in questo ambito. Se non rimangono certificati per l'ambito, mTLS è di fatto disattivato.

  • Ereditare un certificato: se attivi un certificato per la tua organizzazione, verrà attivato anche per tutti i progetti.

Questo articolo è stato utile?