Решение состояло в том, чтобы перезагрузить, и затем я смог удалить сертификат.
Марионеточный клиент создает новые сертификаты на запуске, если они отсутствуют. Так, просто необходимо установить марионетку (с марионеточным основным настроенным именем хоста) и удостовериться, что его сертификат не включен с изображением (путем удаления его прямо прежде, чем сделать изображение).
На начальной загрузке недавно клонированной машины марионетка генерировала бы новые сертификаты и сделает попытку подключения освоить. И Вы будете видеть его в выводе puppetca --list