Recrie a configuração inteira do certificado de cliente. Isso sempre corrigiu qualquer problema de certificação que tenhamos experimentado no passado. A instrução a seguir assume que o nome do host do seu agente é agenthost.hostname.com
No cliente, exclua todos os certificados armazenados, incluindo o CA:
find /var/lib/puppet/ssl -name '*.pem' -delete
No mestre, exclua quaisquer CSRs pendentes ou certificados de clientes antigos para este cliente:
find /var/lib/puppet/ssl -name agenthost.domain.com.pem -delete
Em seguida, no cliente, reconecte-se ao mestre e envie um CSR:
puppet agent -t --waitforcert=60
e quando estiver aguardando (se você não tiver definido o preenchimento automático ativado), em seguida, o mestre aprovará o CSR para que um novo certificado de cliente seja enviado de volta:
puppet cert sign agenthost.domain.com
Isso deve fazer com que o agente baixe novamente os certificados de CA do fantoche e solicite novamente seu próprio certificado.
Tivemos que usar esse procedimento no passado quando alteramos os servidores de marionetes e os certificados de CA alterados ou quando reconstruímos um host com o mesmo nome de host.
Certifique-se de que seu agente saiba seu nome de host totalmente qualificado real; use o comando 'hostname' para garantir que é o que você espera que seja.