Você está usando um CNAME. O problema é que o Certificado SSL é emitido para o nome de domínio para o qual o CNAME está apontando.
Para explicar onde está o "problema":
- Alguém digita no navegador wiki.example.com.
- O navegador obtém o endereço IP desse nome de domínio (pulando pelo CNAME, mas o navegador não sabe nada sobre o CNAME, o DNS faz isso nos bastidores, o navegador apenas recupera o IP) e se conecta.
- O navegador e o servidor que ele conecta para iniciar o processo de negociação do SSL. Os certificados SSL dizem "Olá, sou exemplo.externalhost.com"
- O navegador vê que o servidor está usando um nome diferente do que o usuário digitou. Lança o aviso.
O que você quer é que um servidor pegue o wiki.example.com e faça um Redirect (CNAMEs NÃO são redirecionados). O servidor de redirecionamento diria "Oi, eu sou wiki.example.com; você precisa se conectar ao example.externalhost.com". Um navegador veria o nome de correspondência inicial, portanto, nenhum aviso, em seguida, proceder para se conectar ao novo host (que também corresponderia ao nome, portanto, nenhum aviso).