Demo-Certificate Authority voor het hele Administratie-omgeving-ecosysteem. Geeft X.509-identiteits-certificaten uit aan mock-organisaties bij hun onboarding. Conceptueel de demo-equivalent van PKIoverheid in productie.
Deze CA draait Smallstep's step-ca in een Docker-container, geconfigureerd met een eigen self-signed root-CA en een intermediate-CA die de daadwerkelijke leaf-certs voor mock-orgs tekent. Vastgesteld als demo-CA in D23 in docs/uitbreidingen/implementatie-kanalen/README.md plus geconcretiseerd in docs/uitbreidingen/research-consent-en-dvtp/README.md §5.7.8.
Plek in het drie-lagen-trust-model uit D23: deze CA vult laag 1 (identiteits-certificaat). Mock-governance-board vult laag 2 (witte-lijst-bewijs) en laag 3 (autorisatie-bewijs).
Verifiers die certificate-chains naar deze CA willen valideren downloaden het root-cert:
Root-cert SHA-256-fingerprint:
94:F4:95:3E:EF:43:D8:C7:DB:5F:D5:EA:83:99:3D:10:EF:C3:0A:00:03:B6:9E:74:7C:0E:AE:AA:9E:D9:88:29
Mock-organisaties krijgen hun X.509-cert niet rechtstreeks van step-ca, maar via de tussenliggende Registratie-Autoriteit-balie. Die balie doet identity-vetting (in demo: een gedeelde API-key per mock-org) plus genereert het keypair plus stuurt de CSR namens de mock-org naar step-ca.
Step-ca biedt cert-uitgifte aan via het standaard ACME-protocol (RFC 8555). De ACME-client-discovery-URL:
https://ca.administratieomgeving.nl/acme/acme/directory
{"status":"ok"} zodra de CA draaitIn een echte productie-stack zou deze CA worden vervangen door PKIoverheid (Nederlandse overheid-PKI) voor publieke organisaties, of door een commerciële QTSP die op de Europese Vertrouwenslijst staat conform ETSI TS 119 612. De cert-uitgifte-flow blijft hetzelfde (CSR via ACME of vergelijkbaar), alleen de root-of-trust verschuift.
Mock-CA, alleen voor demonstratiedoeleinden. Geen geldige productie-trust-anker.