CRL марионетки в среде, где "марионетка" не разрешается правильно

По политическим причинам выше технического уровня голое слово puppet не переходит к правильному кукловоду для частей нашей инфраструктуры. У этих территорий есть свои независимые кукловоды и СА. Сегодня я обнаружил, что ... мы где-то сделали что-то не так.

Выполнение этой команды на машине-агенте в одной из следующих областей:

puppet certificate_revocation_list find crl --terminus rest

Дайте мне ошибку, похожую на эту:

Error: Could not call 'find' on 'certificate_revocation_list': SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-wrong.example.com]

Когда я пытаюсь запустить марионеточный агент, я получаю очень похожий:

Error: Could not retrieve catalog from remote server: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to get certificate CRL for /CN=puppetmaster-right.example.com]

Во время устранения неполадок я обнаружил команду, о которой не знал ...

puppet config print ca_server

Что возвращает голое слово puppet. Это когда и случилась ругань, так как puppet CNAME для puppetmaster-wrong.example.com. Я узнал, что должен был ca_server = puppetmaster-right.example.com в наших файлах puppet.conf все это время, но никогда не знал, что мне нужно это там.

Это вторая такая среда, которую я настраиваю, и она хорошо сломана.

Первый, настроенный так же, вроде работает. И я не знаю почему. Это также примерно в 300 мс от марионеточного мастера - неправильно, так что это может сыграть свою роль.

Это случай «сжечь дотла и на этот раз сделать все правильно» (ca_server установлен с самого начала) или это то, из чего я могу выкопать себя?