联合服务器要求使用令牌签名证书来防止攻击者在尝试获得对联合资源的非授权访问时更改或伪造安全令牌。每个令牌签名证书包含用于对安全令牌进行数字签名(通过私钥的方式)的加密私钥和公钥。以后在伙伴联合服务器接收到这些密钥时,它们会验证加密的安全令牌的真实性(通过公钥的方式)。
在新的 Active Directory 联合身份验证服务 (AD FS) 安装中部署第一个联合服务器时,必须获取令牌签名证书并在联合服务器上的本地计算机个人证书存储中安装它。可以通过从企业证书颁发机构 (CA) 或公共 CA 申请,或通过创建自签名证书来获得令牌签名证书。