Federationsservrar kräver att certifikat för tokensignering används så att angripare inte ska kunna ändra eller förfalska säkerhetstoken och därigenom få obehörig åtkomst till federerade resurser. Varje certifikat för tokensignering innehåller kryptografiska privata och offentliga nycklar som används vid digital signering (med den digitala nyckeln) av en säkerhetstoken. När nycklarna sedan har mottagits av en partnerfederationsserver bekräftar de äktheten (med den offentliga nyckeln) hos den krypterade säkerhetstoken.
När den första federationsservern i en ny AD FS-installation (Active Directory Federation Services) distribueras måste du införskaffa ett certifikat för tokensignering och installera certifikatet i det personliga certifikatarkivet på den lokala datorn på den aktuella federationsservern. Du kan införskaffa ett certifikat för tokensignering genom att begära ett från en företagscertifikatutfärdare (CA) eller en offentlig CA. Det går även att skapa ett certifikat för tokensignering.