Я использовал неправильную настройку своих марионеточных мастеров, а именно позволял им создавать свой собственный CA в отдельном каталоге. Эта ссылка прояснила это. Теперь я:
/ var / lib / puppet / ssl
). Это гарантирует, что он использует один и тот же CA для обоих режимов; ca = false
на марионеточном мастере (секция master
), чтобы марионеточный мастер не жаловался на использование другого CA его собственное; certname =
для мастеров марионеток и позвольте им использовать имя машины, как это сделано в режиме агента.