Poszukujemy doświadczonego Senior PKI Engineer, który będzie odpowiadał za projektowanie, wdrażanie i utrzymanie infrastruktury PKI (Public Key Infrastructure) w ramach platformy EDP.

Na tym stanowisku będziesz projektować i rozwijać hierarchie certyfikatów, wdrażać systemy CA, integrować rozwiązania z usługami biznesowymi i chmurowymi, dbać o bezpieczeństwo kluczy i certyfikatów oraz automatyzować procesy w złożonym środowisku enterprise.

Senior PKI Engineer – Identity & Access Management

Twój zakres obowiązków

Projektowanie i architektura PKI

•Tworzenie i utrzymywanie hierarchii certyfikatów (offline root, intermediates, issuing CAs).

•Projektowanie modeli zaufania (internal, external, cross-cert, bridge CAs).

•Konsultacje w zakresie rozwiązań klasy enterprise (Root CA, Subordinate CA, OCSP, CRL, HSM).

•Organizacja ceremonii kluczy, opracowanie dokumentów CP/CPS.

•Dobór algorytmów kryptograficznych (RSA, ECC, SHA-2/SHA-3), definiowanie cykli życia kluczy.

Wdrażanie i konfiguracja

•Instalacja i konfiguracja CA (Microsoft AD CS, EJBCA, Entrust, DigiCert).

•Integracja HSM (np. Thales Luna) w celu ochrony kluczy.

•Konfiguracja automatyzacji (ACME v2, EST, SCEP), usług rejestracji i auto-enrollment.

•Definiowanie szablonów certyfikatów i procesów rejestracji.

Integracja i wsparcie

•Konfiguracja TLS/SSL dla serwerów WWW, load balancerów, API i usług chmurowych.

•Integracja PKI z VPN, Wi-Fi, urządzeniami mobilnymi, smart card, S/MIME, code signing.

•Integracja z IAM (np. Keycloak OIDC).

•Wsparcie DevOps przy automatyzacji certyfikatów (Vault, Venafi, Certbot).

Operacje i zarządzanie cyklem życia certyfikatów

•Wydawanie, odnawianie, zawieszanie i unieważnianie certyfikatów.

•Monitorowanie terminów ważności i automatyzacja odnowień.

•Zarządzanie CRL i OCSP, politykami archiwizacji i niszczenia kluczy.

•Praca nad strategią post-quantum (PQC) oraz zapewnienie HA/DR.

Bezpieczeństwo i zgodność

•Zarządzanie kluczami zgodnie z FIPS 140-2/3, NIST, PCI-DSS.

•Audyty operacji PKI i użycia certyfikatów.

•Wdrażanie RBAC dla administratorów PKI.

•Zgodność z regulacjami (CAB Forum BRs, WebTrust, eIDAS, GDPR).

Automatyzacja i modernizacja

•Użycie narzędzi do automatyzacji cyklu życia certyfikatów (Venafi, AppViewX, Sectigo CLM).

•Wdrażanie DevSecOps – certyfikaty w pipeline’ach CI/CD.

•Migracja starszych środowisk PKI do architektur cloud-native i modeli Zero Trust.

Nasze wymagania

• Solidna znajomość kryptografii (klucze publiczne/prywatne, RSA/ECC, podpisy cyfrowe, hashowanie).
• Projektowanie i utrzymanie hierarchii CA (root/subordinate, offline/online).
• Doświadczenie z HSM (np. Thales Luna), konfiguracją CRL/OCSP.
• Znajomość standardów: X.509, PKCS (#7, #10, #11, #12), TLS/SSL, S/MIME, OCSP, ACME, EST, SCEP.
• Zarządzanie cyklem życia kluczy (generacja, backup, rotacja, destrukcja).
• Doświadczenie w compliance (CP, CPS, CAB Forum BRs, eIDAS, GDPR).
• Automatyzacja zadań PKI (PowerShell/Python).
• Wdrażanie i utrzymanie CA (Microsoft AD CS, EJBCA, Entrust).
• Biegła znajomość języka angielskiego (C1).
• Doświadczenie z chmurą (AWS, Azure, GCP).
• Wiedza o IAM opartym na OIDC (np. Keycloak).
• Znajomość języka niemieckiego.
• Praktyka w pracy w metodykach Agile/Scrum.