Merci à tous pour ces précieux éléments de réponse. Je n'avais visiblement pas compris le rôle de /etc/cron.d/certbot: c'est compris maintenant.
Pour la centralisation de la gestion, je me rends compte qu'elle est probablement handicapante pour une machine publique dont le certificat est renouvelable par le challenge HTTP-01. Encore merci.
