Merci à tous pour ces précieux éléments de réponse.
Je n'avais visiblement pas compris le rôle de /etc/cron.d/certbot: c'est compris maintenant.
Pour la centralisation de la gestion, je me rends compte qu'elle est probablement handicapante pour une machine publique dont le certificat est renouvelable par le challenge HTTP-01.
Encore merci.