Emita um certificado com o Subject Alternative Name que inclua ambos os nomes. Para AD CS, use o formulário de inscrição na Web ou certreq.exe. As solicitações de certificado são padrão, portanto você também pode usar qualquer outra ferramenta ou documentação x509.
Os clientes TLS verificam o nome DNS em relação ao certificado. Portanto, um certificado emitido apenas para, digamos, host APIweb3.example.com não é suficiente para solicitações para API.example.com .
Certificados independentes podem ser úteis se você quiser separar seu uso ou emissão. Por exemplo, se você quiser forçar todas as solicitações de API a chegarem ao servidor Web (ou ao balanceador de carga) em API.example.com , tenha esse o único nome no certificado. APIweb3.example.com poderia ser outro certificado usado para acesso remoto dessa máquina especificamente.