Я не могу придумать слишком много аргументов против повторного использования сертификата, только то, что puppet cert clean "$certname" на мастере CA настолько прост, что я не могу придумать причину для повторного использования имен сертификатов.
Тем не менее, я бы порекомендовал построить какой-то конвейер, который включает в себя очистку сертификата при уничтожении ваших экземпляров ec2.Это довольно просто сделать в рабочем процессе terraform с провайдером AWS Terraform и local-exec Provider .Для каждого создаваемого вами aws_instance вы также должны создать ресурс local-exec и указать, что local-exec выполняется только во время уничтожения: when = "destroy".
Если вы повторно используете имена хостов длядля удобства, возможно, было бы разумно вместо этого полагаться на dns, чтобы указывать на новые хосты, а не полагаться на сами имена хостов и перестать беспокоиться о puppet cert clean.