A primeira coisa que você precisa fazer é verificar se o certificado está revogado na CA. Ative o seguinte comando para verificar se:
puppetca --list --all
Se você tiver certeza de que o certificado foi revogado, verifique se a assinatura automática está desativada. Não apenas o arquivo de autosign, verifique também o arquivo puppet.conf. Você tem que desativá-lo. Se você acha que seu infra será afetado por desativá-lo, simplesmente use auth.conf para bloquear o host em questão.
Espero que tenha ajudado.