同盟伺服器需要使用權杖簽署憑證讓攻擊者無法在其嘗試中改變或盜用安全性權杖,而未經授權存取同盟資源。每一權杖簽署憑證包含加密編譯私密金鑰與公開金鑰,可用來為安全性權杖進行數位簽章 (藉由私密金鑰)。稍後,夥伴同盟伺服器接收到它們之後,這些金鑰會驗證加密安全性權杖的真實性 (藉由公開金鑰)。
在新的 Active Directory Federation Services (AD FS) 安裝中部署第一個同盟伺服器時,您必須取得權杖簽署憑證,將它安裝在該同盟伺服器上的本機電腦個人憑證存放區中。藉由向企業憑證授權 (CA) 或公用 CA 或建立自行簽章的憑證,就可以取得權杖簽署憑證。