Se eles ainda estiverem fazendo check-in, provavelmente é porque o mestre de marionetes não está verificando a CRL; eles podem não existir mais no inventário de certificados no mestre, mas ainda são assinados pela CA. A revogação prevalece, mas a revogação não parece estar impedindo que o agente seja executado (verifique se eles não estão apenas usando catálogos em cache com puppet agent --test
).
Por causa disso, você deve ser capaz de fazer algum gerenciamento de configurações criativas para fazê-los se inscreverem em novos certificados - por exemplo, algo assim.
exec { 'ssl hackery':
command => '/bin/mv /var/lib/puppet/ssl /var/lib/puppet/ssl_old',
creates => '/var/lib/puppet/ssl_old',
}
(Teste isso completamente em um único host antes de atingir todos os nós com ele, ou você realmente tocará em cada um deles!)