Как выписывать/обновлять сертификаты по одному имени на несколько серверов, когда они в DNS round robin?
Думаю сделать так:

- Создать сервер чисто с минимальным конфигом nginx+certbot и проксировать туда HTTP(S)/ACME с фронтов.
- На фронтах нет certbot, там только nginx, в нем статический путь к SSL KEY/CRT.
- Вставить hook в certbot, чтоб при успешной выписке сертификата пушил его на фронты и релоадил Nginx там.
- положить certbot renew в Crontab на nginx+certbot сервер.

Есть другие варианты или готовые решения?

 highload, letsencrypt, nginx