Марионеточный CRLs в среде, где 'марионетка' не разрешает право

Из-за политических причин выше технического слоя, bareword puppet не решает к корректному puppetmaster для частей нашей инфраструктуры. Эти области имеют свой собственный, независимый puppetmaster, и Приблизительно Сегодня я обнаружил, что... мы сделали что-то не так где-нибудь.

Выполнение этой команды на машине агента в одной из этих областей:

puppet certificate_revocation_list find crl --terminus rest

Дайте мне ошибку, подобную этому:

Error: Could not call 'find' on 'certificate_revocation_list': SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-wrong.example.com]

Когда я пытаюсь выполнить марионеточный агент, я получаю очень похожий:

Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-right.example.com]

Во время поиска и устранения неисправностей для этого я нашел команду, о которой я не знал...

puppet config print ca_server

Который возвращает bareword puppet. Это - когда клятва произошла с тех пор puppet CNAME на puppetmaster-wrong.example.com. Я узнал, что должен был иметь ca_server = puppetmaster-right.example.com в наших puppet.conf файлах все время, но никогда не знал, что у меня должен был быть он там.

Это является вторым такая среда, которую я настраиваю, и она хорошо повреждается.

Первый, настроенный то же, кажется, работает. И я не знаю почему. Это также на расстоянии приблизительно в 300 мс от puppetmaster-несправедливости, так, чтобы мог играть роль его.

Действительно ли это - случай, "сожгли его до основания и делают его правильно на этот раз" (ca_server набор с начала), или это что-то, из чего я могу раскопать меня?