Serwery federacyjne wymagają użycia certyfikatów podpisywania tokenów, aby uniemożliwić osobom atakującym zmienianie oraz fałszowanie tokenów zabezpieczających w celu uzyskania nieautoryzowanego dostępu do zasobów federacyjnych. Każdy certyfikat podpisywania tokenu zawiera kryptograficzne klucze prywatne i publiczne, które służą do cyfrowego podpisywania (przy użyciu klucza prywatnego) tokenu zabezpieczającego. Klucze odebrane przez serwer federacyjny partnera służą do sprawdzania autentyczności (przy użyciu klucza publicznego) zaszyfrowanego tokenu zabezpieczającego.
Podczas wdrażania pierwszego serwera federacyjnego w nowej instalacji programu Active Directory Federation Services (AD FS) należy uzyskać certyfikat podpisywania tokenu i zainstalować go w magazynie certyfikatów osobistych komputera lokalnego na tym serwerze federacyjnym. Certyfikat podpisywania tokenu można uzyskać, wysyłając żądanie do jednego z urzędów certyfikacji przedsiębiorstwa lub do publicznego urzędu certyfikacji albo tworząc certyfikat z podpisem własnym.