1) Много имен в одном сертификате завести можете, но после этого придётся отдать провайдеру ключ и сертификат, чтобы он мог обслуживать subdomain.example.com
Поэтому лучше заказать отдельно сертификат на subdomain и сертификат на всё остальное.
2) Предварительно надо убедиться, что CDN вообще предоставляет клиентам возможность загружать их собственные сертификаты и ключи (на дорогих тарифах наверняка да, на бесплатных наверняка нет).
3) Из клиентов LetsEncrypt наиболее удобен acme.sh
