Para o benefício de qualquer outra pessoa que se depara com esta resposta:
Devido a CVE-2011-3872 , o Puppet não suporta mais a opção certdnsnames
. Da documentação:
The certdnsnames setting is no longer functional, after CVE-2011-3872. We ignore the value completely. For your own certificate request you can set dns_alt_names in the configuration and it will apply locally. There is no configuration option to set DNS alt names, or any other subjectAltName value, for another nodes certificate. Alternately you can use the --dns_alt_names command line option to set the labels added while generating your own CSR.
Você pode gerar um certificado SSL para o seu servidor usando subjectAlternativeName assim:
$ puppet cert generate <puppet master's certname> --dns_alt_names=<comma-separated list of DNS names>