Служба STS, которая не подписывает свои токены, используется не очень часто: без подписи ни одна проверяющая сторона не сможет отличить действительный токен, выданный службой STS, от токена, подделанного кем-то со злым умыслом.
Сертификат, который вы устанавливаете для поддержки SSL, обычно отличается от сертификата подписи службы STS. Последний идентифицирует Сервис, а не веб-сервер. Итак, обязательно продолжайте установку SSL-сертификата только на балансировщик нагрузки. Но вам понадобится еще один сертификат, представляющий идентификатор Службы, установленный (с его закрытым ключом) на каждом компьютере, на котором размещается служба, для использования в качестве SigningCertificate. Это должен быть один и тот же сертификат на каждом сервере (это один и тот же Сервис).
Однако обычно вам не нужно покупать такой сертификат: вы можете выдать свой собственный - вам просто нужно убедиться, что каждая потенциальная проверяющая сторона настроена на распознавание сертификата в качестве доверенного STS, а также доверяет корневому издателю сертификата (который будет либо самим сертификатом, если это самозаверяющий сертификат, либо вашим корневым сертификатом, если вы использовали сервер сертификатов для его выдачи).