HDInsight и Data Lake - как использовать принципал службы, подкрепленный сертификатом от Key Vault

При подготовке кластера HDInsight (например, Spark), если Data Lake должен быть настроен как хранилище по умолчанию, тогда требуется субъект службы с аутентификацией сертификата. Мы автоматизировали это с помощью самостоятельно созданного сертификата, но можно ли это сделать с помощью Key Vault? Либо как:

Вариант A: Key Vault создает сертификат (возможно), и мы даем секретный идентификатор для HDInsight для доступа к озеру данных (не знаю, как)?

Вариант B: Key Vault создает сертификат (возможно), который мы экспортируем (не знаю, как экспортировать открытый И закрытый ключ, возможен только CER), и мы передаем его вручную в HDInsight.