марионеточный цифровой отпечаток сертификата, измененный прежде и после подписи?

Первый отпечаток - это отпечаток запроса. Он должен соответствовать отпечатку пальца на стороне клиента, который puppet также печатает в более поздних версиях.

После того, как puppetca подписывает запрос, он удаляет его (вы можете увидеть его в выходных данных), а второй отпечаток - это отпечаток подписанного запроса.

Изменение отпечатка пальца не проблема, с которой вы столкнулись. Скорее всего, часы двух машин не синхронизированы. Проверьте время на обеих машинах и установите время клиента на то, что находится в пределах минуты от мастера марионетки. И, конечно же, убедитесь, что puppet настраивает ntpd за вас.