Um erro que estou vendo aqui (que deve estar mais claro na documentação) é que você acredita que Katello usa os certificados Puppet como Foreman, mas isso não acontece.
Na execução do host do Foreman / Katello:
capsule-certs-generate --capsule-fqdn "mycapsule.example.com"\
--certs-tar "~/mycapsule.example.com-certs.tar"
Onde mycapsule.example.com é seu outro mestre de marionetes.
Descompacte o tarball e copie o RPM do certificado "client-puppet" para seu mestre de marionetes e instale-o
Copie alguns arquivos:
cp /etc/pki/katello-certs-tools/certs/*-puppet-client.crt /etc/puppet/foreman.crt
cp /etc/pki/katello-certs-tools/private/*-puppet-client.key /etc/puppet/foreman.key
cd /etc/puppet
wget https://katello.mydomain.net/pub/katello-default-ca.crt
chown puppet /etc/puppet/foreman.{crt,key} /etc/puppet/katello*
Configure seu /etc/puppet/foreman.yaml assim:
:url: "https://katello.mydomain.net"
:ssl_ca: "/etc/puppet/katello-default-ca.crt"
:ssl_cert: "/etc/puppet/foreman.crt"
:ssl_key: "/etc/puppet/foreman.key"
Isso deve acontecer.