Неважно, использует ли ваша запись DNS запись CNAME или A. Важным является имя хоста, к которому пытается подключиться клиент. Он должен совпадать с одним из альтернативных имен субъекта в сертификате сервера, предоставляющего этот ресурс (или, в случае сбоя, он должен соответствовать CN RDN субъектного DN сертификата).
Если https://www.example.com встраивает изображение в https://assets.example.com (при условии, что оба они обслуживаются по HTTPS с действительными сертификатами для каждого) и если нет смешанного контента (нет ресурсов, загруженных через http://, это не JavaScript, нет изображения , без iframe, ...) тогда вы должны получить зеленую / синюю полосу в зависимости от ситуации.
Если assets.example.com является CNAME для assets.example2.com и запросы отправляются на https://assets.example.com, этот компьютер должен предоставить клиенту действительный сертификат для assets.example.com.
Кроме того, если одновременно необходимо использовать несколько сертификатов на этом IP-адресе (и одном и том же порту), может потребоваться поддержка индикации имени сервера (SNI).
В качестве альтернативы можно использовать один сертификат, поддерживающий все эти имена, обычно через несколько записей альтернативных имен субъектов (SAN) или, возможно, с помощью подстановочных имен (которые не рекомендуются ).
Это не зависит от механизма разрешения DNS (запись CNAME или A).