Obrigado a @Peter Hahndorf pela solução alternativa, para @benadams correções de letsencrypt para o IIS para a sintaxe, e para @Mike Ratcliffe (editando ApplicatonHost.config)
Se você quiser que o Let's Encrypt escreva para uma subpasta ./well-known do site do CRM, crie a subpasta primeiro e altere a configuração da seguinte forma.
Edite o ApplicationHost.config (o principal arquivo de configuração do IIS), o meu estava em Windows/System32/inetsrv/config . Se você estiver executando uma edição de 64 bits do Windows, deverá usar um editor de 64 bits (usei o Bloco de Notas do Windows).
Eu adicionei / alterei as seguintes linhas na seção <location path="Microsoft Dynamics CRM/.well-known"> .
<system.webServer>
<validation validateIntegratedModeConfiguration="false" />
<staticContent>
<mimeMap fileExtension=".*" mimeType="text/plain" />
<mimeMap fileExtension="." mimeType="text/plain" />
</staticContent>
<handlers>
<clear />
<add name="StaticFile" path="*" verb="*" type="" modules="StaticFileModule,DefaultDocumentModule,DirectoryListingModule" scriptProcessor="" resourceType="Either" requireAccess="Read" allowPathInfo="false" preCondition="" responseBufferLimit="4194304" />
</handlers>
<security>
<authentication>
<anonymousAuthentication enabled="true" />
</authentication>
</security>
</system.webServer>
Isso permite que a autenticação anônima e qualquer usuário acesse um caminho que comece com um ponto, no site padrão do CRM.
Com essa configuração eu poderia solicitar um certificado usando o comando letsencrypt-win-simple Script do PowerShell.