Verbundserver erfordern die Verwendung von Tokensignaturzertifikaten, um Angreifer daran zu hindern, Sicherheitstokens bei einem unerlaubten Zugriff auf Verbundressourcen zu ändern oder zu fälschen. Jedes Tokensignaturzertifikat enthält kryptografische private und öffentliche Schlüssel, die zum digitalen Signieren (mithilfe des privaten Schlüssels) eines Sicherheitstokens verwendet werden. Wenn diese Schlüssel später von einem Partnerverbundserver empfangen wurden, wird mit ihnen die Authentizität des verschlüsselten Sicherheitstokens überprüft (mithilfe des öffentlichen Schlüssels).
Wenn Sie den ersten Verbundserver in einer neuen Installation von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) bereitstellen, müssen Sie ein Tokensignaturzertifikat abrufen und dieses im persönlichen Zertifikatspeicher des lokalen Computers auf diesem Verbundserver installieren. Sie können ein Tokensignaturzertifikat abrufen, indem Sie es bei einer Unternehmenszertifizierungsstelle (Certification Authority, CA) oder einer öffentlichen Zertifizierungsstelle anfordern oder indem Sie ein selbstsigniertes Zertifikat erstellen.