当在API网关中使用自定义域名的CNAME时，如果SSL握手失败，可能有以下几个原因：

1. 证书问题：确保您的自定义域名的SSL证书已正确安装。证书必须与您的API网关绑定的域名匹配。您可以通过查看证书的主题名称和颁发者来验证证书是否正确。

2. 域名解析问题：确保您的自定义域名的CNAME已正确配置到API网关的域名上。您可以使用nslookup或dig等命令来检查域名解析是否正确。

3. 安全组设置问题：如果您的API网关部署在VPC中，确保VPC的安全组配置允许来自SSL握手端口（通常是443）的流量通过。

下面是一个示例代码，展示如何使用自定义域名的CNAME与API网关建立SSL连接：

import requests

url = "https://your-custom-domain.com/api-endpoint"

response = requests.get(url)
print(response.text)

如果SSL握手失败，可以使用requests库的verify参数来禁用SSL验证，以便在调试和排除问题时继续进行开发。请注意，这只是一个临时解决方法，请不要在生产环境中禁用SSL验证。

import requests

url = "https://your-custom-domain.com/api-endpoint"

response = requests.get(url, verify=False)
print(response.text)

请记住，在生产环境中，您应该始终使用有效的SSL证书，并验证SSL连接，以确保数据的安全性。