Description
Omschrijving van de missie :
Het IOS-domein van de FOD BOSA heeft 5 nShield General Purpose hardware security modules (modelnummer NH2075-B) van Entrust aangekocht.
Om deze HSMs in een bredere PKI-context te gebruiken, is IOS op zoek naar een Entrust nShield Certified specialist die kan helpen met de volgende taken:
• Automatisering van de Security World creatie en bijbehorende Administrator Card Set en Operator Card Sets (dit moet worden gedaan volgens de best practices van de industrie op 3 verschillende omgevingen verspreid over 2 datacenters op basis van de hieronder beschreven vereisten);
o de leverancier kan betere voorstellen doen dan die in de vereisten als hij vindt dat die beter overeenkomen met de best practices van de industrie. Het is aan de leverancier om dit duidelijk aan te geven in het voorstel, zoals voor het initialiseren, het voorzien van een key ceremony met bijhorende documentatie
• Het documenteren en uitwerken van een demo betreffende PKCS 11 integratie. Dit met de bedoeling om hergebruik ervan te stimuleren met verschillende software in gebruik binnen de FOD BOSA DG VD zoals Axway API
Gateway, AppViewX, Forgerock AM, HashiCorp Vault Eisen voor automatisering:
• Active-Passive RFS « cluster » creëren
• bestaande Security World (indien aanwezig) resetten
• nieuwe FIPS 140-2 Level 3 conforme Security World creëren
o AES als preferred cipher suite instellen
In parallel ECC zo goed mogelijk in te zetten gegeven de efficiëntie welke hiermee gepaard gaat
o 3/6 quorum voor alle operaties (PIN-reset, NVRAM-toegang, RTC-toegang, etc.) instellen
o active-backup netwerkverbinding instellen
o 3 verschillende NTP-servers instellen stratum 0 NTP servers: ntp-a.fediap.be, ntp-b.fediap.be, en ntp-c.fediap.be
o auditregistratie instellen
o remote beheer instellen
o remote reboot instellen
o auto-push config instellen
o maak module 1 geldig doel voor remote shares
• wanneer er reeds cluster aanwezig is: aansluiten bij bestaande Security World 025/BOSA/90533/DEF/V1.0/ONDERSTEUNINGSMISSIE HSM 06/02/2025 7 INFRASTRUCTURE SPECIALIST
• 3 2/5 quorum persistente OCS creëren
o een timeout van 300 seconden instellen
o passphrase replacement/PIN recovery instellen
• complexiteit van de passphrase afdwingen voor ACS en OCS
Alle stappen moeten gelogd worden om bewijs te leveren van de goede uitvoering! Idealiter zouden stappen van de automatisering herbruikbaar moeten zijn om bijvoorbeeld geautomatiseerde herinitialisering van een HSM in een Security World mogelijk te maken na een firmware-upgrade.
De kandidaat dient ook ervaring te hebben met Linux RHEL8 en hoger;
Naast de certificatie ook 5 jaar (of meer) ervaring met Entrust producten;
Kennis Nederlands en/of Frans is een pluspunt.