Os servidores de federação exigem a utilização de certificados de assinatura de tokens para evitar que os atacantes alterem ou falsifiquem tokens de segurança numa tentativa de obter acesso não autorizado a recursos federados. Todos os certificados de assinatura de tokens contêm chaves privadas e chaves públicas criptográficas usadas para assinar digitalmente (com a chave privada) um token de segurança. Posteriormente, após terem sido recebidas por um servidor da federação do parceiro, estas chaves validam a autenticidade (com a chave pública) do token de segurança encriptado
Ao implementar o primeiro servidor de federação numa instalação nova de Serviços de Federação do Active Directory (AD FS), deve obter um certificado de assinatura de tokens e instalá-lo no arquivo de certificados pessoal do computador local nesse servidor de federação. É possível obter um certificado de assinaturas de tokens pedindo um a uma autoridade de certificação empresarial (AC) ou AC pública ou criando um certificado auto-assinado.