Eu estava usando uma configuração errada para os meus puppetmasters, ou seja, permitindo que eles criassem suas próprias CAs em um diretório separado. Este link esclareceu. Eu agora:
- Use o mesmo diretório no modo de agente e mestre (no meu caso, o diretório
/var/lib/puppet/ssl
padrão). Isso garante que ele use a mesma CA para os dois modos; - Use
ca=false
no mestre de fantoches (seçãomaster
) para que o mestre de bonecos não reclame sobre usar outra CA além da dele; - Pare de especificar
certname=
para os máscaras de fantoches e deixe que eles usem o nome da máquina como concluído no modo de agente.