I server federativi richiedono l'utilizzo di certificati per la firma di token al fine di impedire agli autori di attacchi di modificare o contraffare i token di sicurezza nel tentativo di ottenere l'accesso non autorizzato alle risorse federative. Ogni certificato per la firma di token contiene chiavi private di crittografia e chiavi pubbliche utilizzate per apporre la firma digitale (tramite la chiave privata) a un token di sicurezza. Successivamente, dopo che le chiavi sono state ricevute da un server federativo del partner, per mezzo della chiave pubblica viene convalidata l'autenticità del token di sicurezza crittografato.
Quando si distribuisce il primo server federativo in una nuova installazione di Active Directory Federation Services (ADFS), è necessario ottenere un certificato per la firma di token e installarlo nell'archivio certificati personali del computer locale in tale server federativo. È possibile ottenere un certificato per la firma di token richiedendone uno a un'autorità di certificazione dell'organizzazione (enterprise) o pubblica oppure creando un certificato autofirmato.