Марионеточные CRL в среде, где "кукольный" не разрешается правильно

По политическим причинам выше технического уровня, голое слово puppet не решает правильный Puppetmaster для частей нашей инфраструктуры. У этих областей есть свой независимый мастер кукловодов и CA. Сегодня я обнаружил, что... мы где-то сделали что-то не так.

Выполнение этой команды на агент-машине в одной из следующих областей:

puppet certificate_revocation_list find crl --terminus rest

Дайте мне ошибку, похожую на эту:

Error: Could not call 'find' on 'certificate_revocation_list': SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-wrong.example.com]

Когда я пытаюсь запустить кукольный агент, я получаю очень похожий:

Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-right.example.com]

Во время устранения неполадок я нашел команду, о которой не знал...

puppet config print ca_server

Который возвращает голое слово puppet, Это когда ругань случилась, так как puppet такое CNAME для puppetmaster-wrong.example.com. Я узнал, что должен был ca_server = puppetmaster-right.example.com в наших файлах puppet.conf все время, но никогда не знал, что я должен был иметь это там.

Это вторая такая среда, которую я настраиваю, и она хорошо нарушена.

Первый, настроенный так же, похоже, работает. И я не знаю почему. Это также примерно в 300 мс от марионетки-неправильно, так что это может сыграть в этом роль.

Это случай "сжечь его до основания и сделать это правильно на этот раз" (ca_server устанавливается с самого начала) или это то, из чего я могу выкопать себя?