Сертификат с закрытым ключом является формой учетных данных. Он должен быть защищен так же, как имя пользователя и пароль должны быть защищены. Если он получен кем-то, для чего он не предназначен, то он скомпрометирован и должен быть отозван и выдан новый сертификат. Windows (и другие платформы) предоставляют безопасное хранилище для сертификатов, поэтому их можно относительно безопасно хранить на клиентах. Тем не менее, сервер не может быть уверен, что клиент является целевым, если сертификат не защищен.
И часто в Windows сертификаты хранятся в хранилище пользователей, что означает, что любое приложение, работающее по этому принципу безопасности, может получить доступ и использовать сертификат. Это означает, что если ваше приложение не работает по своему собственному принципу безопасности (скажем, это служба Windows с определенной идентификацией), то сервер не сможет идентифицировать клиентское приложение. Любое приложение, которое запускает пользователь, может получить доступ к сертификату и использовать его для аутентификации в вашей службе.