Los servidores de federación requieren el uso de certificados de firma de tokens para impedir que los atacantes modifiquen o falsifiquen los tokens de seguridad para intentar obtener acceso no autorizado a los recursos federados. Cada certificado de firma de tokens contiene claves privadas cifradas y claves públicas que se usan para firmar digitalmente (mediante la clave privada) un token de seguridad. Más adelante, después de que un servidor de federación del asociado las recibe, estas claves validan la autenticidad (mediante la clave pública) del token de seguridad cifrado.
Al implementar el primer servidor de federación en una nueva instalación de los Servicios de federación de Active Directory (AD FS), debe obtener un certificado de firma de tokens e instalarlo en el almacén de certificados personales del equipo local de ese servidor de federación. Puede obtener un certificado de firma de tokens solicitándolo a una entidad de certificación (CA) de empresa o una CA pública, o bien creando un certificado autofirmado.