Administratie-omgeving Demo CA step-ca

Demo-Certificate Authority voor het hele Administratie-omgeving-ecosysteem. Geeft X.509-identiteits-certificaten uit aan mock-organisaties bij hun onboarding. Conceptueel de demo-equivalent van PKIoverheid in productie.

Wat is deze service

Deze CA draait Smallstep's step-ca in een Docker-container, geconfigureerd met een eigen self-signed root-CA en een intermediate-CA die de daadwerkelijke leaf-certs voor mock-orgs tekent. Vastgesteld als demo-CA in D23 in docs/uitbreidingen/implementatie-kanalen/README.md plus geconcretiseerd in docs/uitbreidingen/research-consent-en-dvtp/README.md §5.7.8.

Plek in het drie-lagen-trust-model uit D23: deze CA vult laag 1 (identiteits-certificaat). Mock-governance-board vult laag 2 (witte-lijst-bewijs) en laag 3 (autorisatie-bewijs).

Root-cert plus fingerprint

Verifiers die certificate-chains naar deze CA willen valideren downloaden het root-cert:

Download roots.pem

Root-cert SHA-256-fingerprint:

94:F4:95:3E:EF:43:D8:C7:DB:5F:D5:EA:83:99:3D:10:EF:C3:0A:00:03:B6:9E:74:7C:0E:AE:AA:9E:D9:88:29

Cert-subject: O = Administratie-omgeving Demo CA, CN = Administratie-omgeving Demo CA Root CA. Vergelijk de fingerprint vóór je deze CA vertrouwt in een trust-store.

Cert-uitgifte via mock-qtsp-RA-balie

Mock-organisaties krijgen hun X.509-cert niet rechtstreeks van step-ca, maar via de tussenliggende Registratie-Autoriteit-balie. Die balie doet identity-vetting (in demo: een gedeelde API-key per mock-org) plus genereert het keypair plus stuurt de CSR namens de mock-org naar step-ca.

Open mock-qtsp-balie →

Technische endpoints

ACME-directory

Step-ca biedt cert-uitgifte aan via het standaard ACME-protocol (RFC 8555). De ACME-client-discovery-URL:

https://ca.administratieomgeving.nl/acme/acme/directory

Provisioner-naam: acme. Wordt door mock-qtsp gebruikt via de acme-client Node-library; zie eco/voorzieningen/mock-qtsp/src/balie/step-ca-client.ts voor de implementatie.

Health-check

Productie-equivalent

In een echte productie-stack zou deze CA worden vervangen door PKIoverheid (Nederlandse overheid-PKI) voor publieke organisaties, of door een commerciële QTSP die op de Europese Vertrouwenslijst staat conform ETSI TS 119 612. De cert-uitgifte-flow blijft hetzelfde (CSR via ACME of vergelijkbaar), alleen de root-of-trust verschuift.

Volledige overgangsuitleg: docs/uitbreidingen/research-consent-en-dvtp/README.md §5.7.7 (demo-fase versus productie-fase).

Mock-CA, alleen voor demonstratiedoeleinden. Geen geldige productie-trust-anker.