Это возможно по крайней мере с некоторыми реализациями через map_static
опция на экспорт. Посмотрите эту рецензию.
puppetmaster хранит все сертификаты, ключи и приблизительно информацию в папке /var/lib/puppet/ssl
. От моего тестирования Вас должен смочь:
/var/lib/puppet/ssl/certs/hostname.pem
Это должно генерировать новый серверный сертификат SSL с помощью старого закрытого ключа и CA, а также сохранить существующие клиентские сертификаты, которые были уже подписаны.