Abstimmen musst du da eigentlich nichts, kannst für die Subdomain ja ein eigenes Zertifikat ausstellen lassen; arbeite selbst bisher nie mit Wildcard, weil ich solche Probleme damit umgehen kann.
Aber ja das einfachste wird wohl der cron als root sein, bzw 2 crons restart als root und rsync als user wenn man es aufteilen will.