Voor federatieservers is het gebruik van certificaten voor token-ondertekening vereist om te voorkomen dat aanvallers beveiligingstokens vervalsen om onbevoegd toegang te krijgen tot Federation-bronnen. Elk certificaat voor token-ondertekening bevat cryptografische persoonlijke en openbare sleutels om een beveiligingstoken digitaal te ondertekenen (met een persoonlijke sleutel). Nadat deze sleutels door een federatieserver van een partner zijn ontvangen, wordt met deze sleutels de echtheid van het versleutelde beveiligingstoken gevalideerd (met de openbare sleutel) .
Wanneer u de eerste federatieserver implementeert in een nieuwe AD FS-installatie (Active Directory Federation Services), moet u een certificaat voor token-ondertekening aanvragen en installeren in het persoonlijke certificaatarchief van de lokale computer op die federatieserver. U kunt een certificaat voor token-ondertekening bij een ondernemingscertificeringsinstantie of een openbare certificeringsinstantie aanvragen of een zelfondertekend certificaat maken.