Почему для получения сертификата из хранилища ключей Azure его необходимо хранить в секрете?

Это зависит от того, что вы планируете делать с сертификатом. Вы можете обновить свой вопрос, указав сведения об ожидаемом рабочем процессе, который вы хотите поддержать.

Но в основном сертификат может храниться в виде файла. Вы можете увидеть больше деталей (C#), чтобы узнать, как это сделать после загрузки сертификата в переменную.

Экспорт сертификата в кодировке BASE-64.cer

Обновить

Соображения безопасности, которые необходимо учитывать. Если вы видите сертификат, хранящийся в хранилище ключей Azure, в качестве секрета и хотите ограничить доступ к нему, вам следует подумать о том, как ваши скрипты PowerShell будут хранить необходимые учетные данные для аутентификации на KeyVault.

Если вы планируете запускать сценарий в автоматическом режиме / по расписанию без участия пользователя, вам придется хранить какие-то учетные данные на компьютере, который должен запустить сценарий. BetterCredentials - это отличный модуль PowerShell для хранения учетных данных на локальном компьютере.

Я бы порекомендовал вам создать участника службы Azure (регистрация приложений / зарегистрированное приложение), который получит только достаточные разрешения для получения сертификата от KeyVault. Созданные данные о принципале обслуживания должны затем храниться локально на компьютере, и вы должны сначала загрузить эти учетные данные и использовать их для подключения к KeyVault.

Пример кода, который должен быть способен загружать сведения о принципале службы из BetterCredentials и входить в Azure:

BetterCredentials\Get-Credential -UserName <application ID> -Store
$azureTenantId = <tenant ID>
$Cred = BetterCredentials\Get-Credential -UserName <application ID>
Add-AzureRmAccount -Credential $Cred -TenantId $azureTenantId -ServicePrincipal