puppetサーバのpuppet.confに、clientから--serverで指定するFQDNを書いておけばよさげ。
[puppetmasterd] certname=FQDN
これを書かないと、デフォルトではSSL証明書のCNがpuppetサーバのhostnameになるみたい。
だもんで、clientから接続したときに、
err: Could not retrieve configuration: Certificates were not trusted: certificate verify failed
と文句を言われる。
※ 追記
puppetdに--fqdnというオプションがあるので、ここにCNを指定してもいいのかな?と思ってやってみたけど、ダメだった。うーん。
--fqdnはclient自身のfqdnを指定するオプションだった(ノ∀`)