A validação do certificado e o comportamento da hierarquia no fantoche é de fato o SSL padrão, mas é uma implementação parcial dos padrões - há um longo solicitação de recurso por aí para melhorar o suporte a implementações mais complexas .
Se o objetivo é obter aprovação e aprovação de certificados para o sistema de Serviços de Certificados do AD (e nunca digitar puppet cert sign novamente), provavelmente você está sem sorte sem algum trabalho de desenvolvimento de software.
O cliente usa a API REST do Puppet para lidar com solicitações de certificados, obtenção de certificados assinados, acesso AIA e CRL, etc .; você precisaria implementar cola entre as chamadas da API e os pontos de acesso RPC dos Serviços de Certificados do AD.
Mas, se você está apenas procurando seus certificados de marionete para estarem na cadeia de confiança sob o seu raiz AD CS, então a recomendação do sysadmin1138 deve funcionar muito bem (embora eu não tenha testado também - eu vou encontrar algum tempo para fazer e atualizá-lo).
Os clientes Puppet tratarão o CA Puppet intermediário como se fosse uma CA raiz (que produzirá uma validação de trabalho sem que eles precisem de conhecimento da raiz), embora ainda sejam descendentes válidos da autoridade de certificação raiz real.