Cómo eliminar un certificado digital instalado en Windows

¿Cómo eliminar un certificado digital instalado en Windows? Gestionar certificados digitales en el ordenador se ha convertido en algo tan habitual como instalar un programa, pero cuando toca borrarlos, muchos usuarios se pierden. Eliminar un certificado digital instalado en Windows, o en otros sistemas, es sencillo si sabes exactamente dónde buscar y qué borrar, y al mismo tiempo requiere cierto cuidado para no dejar nada importante por el camino.

A lo largo de esta guía vas a ver, paso a paso, cómo desinstalar certificados digitales en Windows, en los principales navegadores, en Mac, Android, iPhone e incluso cómo retirar una entidad de certificación empresarial en entornos de servidor con Active Directory. También repasaremos qué son estos certificados, para qué sirven, cómo hacer copias de seguridad, exportarlos, renovarlos y qué problemas típicos (por ejemplo, con el certificado de la FNMT) te puedes encontrar.

Qué es un certificado digital y por qué tiene sentido eliminarlo

Un certificado digital es, básicamente, un documento electrónico que acredita tu identidad en Internet de forma similar a un DNI. Lo emite una autoridad de certificación reconocida (como la FNMT en España) y contiene datos identificativos que han sido validados por un organismo oficial o entidad de confianza.

Gracias a este certificado, puedes firmar documentos electrónicamente, identificarte ante la Administración, pagar impuestos, consultar tu vida laboral, acceder a la DGT, operar con la Seguridad Social y realizar muchos otros trámites sin moverte de casa. También existen certificados para empresas, organismos y páginas web oficiales (sede electrónica).

Precisamente por la importancia de lo que permiten hacer, no conviene acumular certificados caducados, duplicados o que ya no uses. Pueden generar errores, confusiones al elegir el certificado correcto e incluso suponer un riesgo si alguien se hace con copias antiguas mal guardadas.

Por eso es tan útil saber dónde están almacenados, cómo verlos y cómo borrarlos con seguridad, tanto en Windows como en navegadores y dispositivos móviles. Y, antes de borrar, siempre es buena idea contemplar una copia de seguridad.

Cómo ver y eliminar un certificado digital instalado en Windows (usuario)

En Windows, los certificados se guardan en un “almacén” interno. Hay varios almacenes, pero a nivel de usuario el más importante es el de certificados personales, donde suele estar, por ejemplo, el certificado de la FNMT.

Para acceder rápidamente a tus certificados personales en Windows, puedes usar el administrador de certificados de usuario. Solo tienes que abrir el menú Inicio, escribir certmgr.msc y pulsar Intro. Se abrirá una ventana de gestión muy parecida al Administrador de equipos.

En el panel izquierdo, verás varias carpetas. La clave está en la ruta “Personal > Certificados”. Ahí aparecen los certificados personales de tu usuario de Windows: certificados de persona física, de representante legal y otros que usen las aplicaciones sólo para ti.

Si quieres eliminar uno de ellos, basta con seleccionar el certificado correspondiente, hacer clic derecho sobre él y elegir la opción “Eliminar”. El sistema te pedirá confirmación; si estás seguro, pulsa en “Sí” y el certificado desaparecerá de tu almacén de usuario.

Conviene recordar que no es buena idea ir borrando certificados sin saber exactamente qué hace cada uno. Algunos son necesarios para programas de trabajo, conexiones VPN corporativas o servicios de seguridad. Si dudas, exporta una copia antes de eliminar nada.

Cómo eliminar certificados de equipo en Windows (entorno avanzado)

Además de los certificados personales, Windows mantiene certificados a nivel de equipo, usados por el propio sistema y por software instalado. Estos certificados de equipo se gestionan con la herramienta certlm.msc, accesible desde la búsqueda del menú Inicio.

Al abrirla, verás otra consola parecida a la anterior, pero en este caso se muestran certificados compartidos por todos los usuarios del equipo. Aquí encontrarás certificados raíz de confianza, certificados intermedios, certificados de aplicaciones, de servicios, etc.

Si necesitas desinstalar un certificado de equipo concreto (por ejemplo, uno que ya no quieras que se considere de confianza), solo tienes que navegar hasta la carpeta correspondiente, localizar el certificado, hacer clic derecho sobre él y seleccionar “Eliminar”.

Eso sí, antes de tocar nada conviene tener claro que borrar certificados del sistema puede hacer que dejen de funcionar aplicaciones, servicios o incluso actualizaciones. Por eso, en entornos corporativos, es habitual dejar estas tareas en manos del departamento de sistemas o de administradores experimentados.

Para usuarios muy avanzados, incluso es posible localizar la configuración de los certificados en el Registro de Windows, en rutas como HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates, pero no es el método recomendable para el día a día, ya que un error aquí puede ser crítico.

Cómo eliminar un certificado en Google Chrome, Edge y otros navegadores en Windows

Los navegadores modernos en Windows suelen apoyarse en el almacén del sistema, pero cada uno tiene su propio panel de administración. Chrome y Edge usan el almacén de certificados de Windows, aunque ofrecen accesos directos a través de su menú de configuración.

En Google Chrome, puedes seguir este camino: abre el menú de los tres puntos, entra en “Configuración” > “Privacidad y seguridad” y busca la opción relacionada con “Seguridad” o “Gestionar certificados”. Ahí se abrirá la misma ventana de certificados de Windows, donde podrás ir a la pestaña “Personal”, seleccionar el certificado que quieras quitar y pulsar el botón “Quitar”.

En Microsoft Edge el procedimiento es muy parecido. Entra en “Configuración” > “Privacidad, búsqueda y servicios”, baja hasta el apartado de seguridad y pulsa en “Administrar certificados”. Se abrirá el gestor de certificados de Windows. Desde ahí podrás eliminar, importar o exportar certificados personales o de otras categorías.

Si lo que quieres es trabajar desde el propio Edge, también puedes usar sus botones internos. En el apartado de certificados, escoge el certificado deseado y selecciona “Exportar” para hacer una copia o “Quitar/Eliminar” si ya no lo necesitas. Esta copia exportada suele terminar en un archivo .pfx o .p12 que podrás guardar en un USB o disco externo.

En Mozilla Firefox la historia cambia un poco, porque Firefox no utiliza por defecto el almacén de certificados de Windows. Debes ir al menú, entrar en “Ajustes” o “Opciones”, acceder a “Privacidad y seguridad” y en el apartado “Certificados” pulsar en “Ver certificados”. Desde la pestaña “Sus certificados” podrás seleccionar el que quieras y borrarlo desde el propio navegador.

Instalar, renovar, exportar y hacer copia de seguridad de certificados en Windows

Eliminar certificados es fundamental, pero igual de importante es saber instalar y respaldar los que sí necesitas. Cuando recibes un certificado digital de la FNMT (u otra entidad), lo habitual es que venga en un archivo .pfx o .p12 protegido con contraseña.

Para instalarlo basta con hacer doble clic sobre el archivo del certificado y seguir el asistente de importación de Windows. El sistema te preguntará si quieres que se instale solo para tu usuario o para todo el equipo; en general, por seguridad, se recomienda instalarlo solo para el usuario que lo va a usar.

Después, deberás introducir la contraseña con la que se protegió el certificado al exportarlo. En las opciones adicionales, puedes indicar si la clave privada se puede exportar, y dejar que Windows seleccione automáticamente el almacén más adecuado. Al finalizar el asistente, el certificado quedará disponible para su uso en navegadores y aplicaciones compatibles.

Estos certificados no son eternos: suelen tener una validez de unos años (en el caso típico de la FNMT, cuatro). Desde la misma consola “Administrar certificados de usuario” puedes revisar la columna “Fecha de expiración” para saber cuándo caduca cada uno.

Cuando se acerque la fecha, muchas entidades permiten renovar el certificado sin tener que desplazarte, siempre que el certificado aún esté en vigor. Para el certificado de la FNMT, por ejemplo, se puede utilizar el software oficial de configuración previa y seguir el proceso de renovación online con tu certificado actual, obteniendo un nuevo archivo que deberás descargar e instalar.

Antes de borrar un certificado o cambiar de ordenador, conviene exportar una copia de seguridad. Desde la consola de certificados, haz clic derecho sobre el certificado, entra en “Todas las tareas” y elige “Exportar”. El asistente te preguntará qué tipo de archivo quieres generar, si debe incluir la clave privada y qué contraseña usarás para protegerlo. De este modo tendrás un archivo reutilizable para instalar el certificado en otro equipo o recuperarlo si lo pierdes.

Tipos de certificados en Windows y buenas prácticas al borrarlos

Dentro del almacén de certificados de Windows hay varios tipos y categorías. No todos se deben tratar igual, ni todos conviene eliminarlos alegremente, porque muchos afectan al funcionamiento interno del sistema o de aplicaciones críticas.

Entre los más habituales están los certificados personales (los que usas tú para firmar y autenticarte), las entidades emisoras raíz de confianza (que validan a todas las demás), las entidades emisoras intermedias, los certificados de otras personas o entidades con las que interactúas, los certificados de autenticación de cliente y algunos certificados marcados como “no eliminables” por el propio sistema.

La norma general es clara: solo deberías eliminar certificados personales que sepas que ya no vas a usar (por estar caducados o porque han sido sustituidos por otros), o certificados de terceros que sepas que son innecesarios o causan problemas.

Borrar certificados raíz o intermedios de confianza a lo loco puede hacer que el navegador deje de considerar seguras muchas webs, que se rompan canales cifrados o que ciertos programas corporativos dejen de conectar. Por eso, antes de tocar estas categorías, es recomendable consultar documentación oficial o soporte técnico.

En entornos de trabajo profesionales, especialmente si se manejan muchos certificados de clientes, empresas o sedes electrónicas, existen programas de gestión de certificados como DigiCert Certificate Utility o ADMCert que ayudan a tener inventariados todos los certificados, fijar políticas de uso y evitar errores al elegir o borrar.

Cómo eliminar certificados digitales en Mac, Android y iPhone

La gestión de certificados no es exclusiva de Windows. En Mac, Android y iPhone también puedes ver, instalar y borrar certificados digitales, y cada sistema tiene su propia herramienta para ello.

En macOS, todo gira alrededor de la app Acceso a Llaveros. Puedes abrirla desde “Aplicaciones > Utilidades” o buscándola en Spotlight. Dentro del llavero “inicio de sesión” encontrarás apartados como “Mis certificados” o “Certificados”. Para eliminar uno, solo tienes que seleccionarlo y elegir “Eliminar” desde el menú o con clic derecho.

Si usas Safari o Google Chrome en Mac, se apoyan en el mismo llavero, así que cuando borras un certificado desde Acceso a Llaveros, desaparece también de los navegadores. En Firefox para Mac, igual que en Windows, el navegador mantiene su propio almacén interno, por lo que debes gestionarlo desde las preferencias de Firefox, en el apartado de certificados.

En Android, la ruta puede cambiar ligeramente según la capa de personalización, pero suele ser algo parecido a “Ajustes > Seguridad > Certificados de usuario” o “Otros ajustes de seguridad”. Desde ahí podrás ver los certificados instalados y usar la opción “Borrar certificados” o eliminar uno en concreto.

En iPhone (iOS), los certificados de usuario se suelen gestionar desde “Ajustes > General > VPN y gestión de dispositivos”. Dentro verás los perfiles y certificados instalados. Basta con tocar sobre el que te interese y pulsar en “Eliminar” para retirarlo del sistema.

En todos los casos, recuerda que se recomienda eliminar certificados caducados o que ya no vayas a utilizar, tanto para tener todo más ordenado como para evitar confusiones al elegir certificado en un trámite importante.

Problemas típicos con certificados (ejemplo: FNMT) y cómo afrontarlos

El certificado de la FNMT es uno de los más usados en España y, precisamente por eso, es de los que más quebraderos de cabeza puede dar. Errores al firmar, certificados “no válidos”, problemas con AutoFirma o con Java son muy habituales.

Entre las causas más comunes encontramos certificados duplicados en el almacén, versiones de Java incompatibles, una instalación defectuosa de AutoFirma, certificados raíz de la FNMT no correctamente instalados o fallos al renovar el certificado fuera del periodo permitido.

Una buena práctica es mantener navegadores compatibles y actualizados (Chrome, Edge y Firefox suelen funcionar bien), revisar que AutoFirma esté en su última versión estable e instalar la versión de Java recomendada por la administración electrónica que estés usando.

Si tienes varios certificados similares instalados, conviene eliminar las versiones que ya no correspondan, dejando solo el certificado en vigor. De este modo evitas que el navegador elija el equivocado o que los sistemas de validación se confundan.

En caso de que el daño ya esté hecho y el certificado se corrompa, caduque o funcione mal, siempre queda la opción de revocarlo y solicitar uno nuevo. En estos procesos, la copia de seguridad exportada en su día puede ahorrarte muchos pasos si aún es válida y segura.

Desinstalar una entidad de certificación empresarial en Windows Server y Active Directory

En entornos corporativos, el trabajo con certificados va un paso más allá. Muchas organizaciones tienen su propia entidad de certificación (CA) interna basada en Windows Server y Active Directory, que emite certificados para los equipos, servicios y usuarios del dominio.

Cuando llega el momento de retirar una CA empresarial, no basta con desinstalar un rol y ya está. Es imprescindible revocar los certificados activos, publicar listas de revocación (CRL) con plazos adecuados y limpiar todos los objetos relacionados en Active Directory, o de lo contrario pueden quedar certificados “zombies” circulando y validaciones fallidas.

El proceso recomendado arranca por revocar todos los certificados emitidos por esa CA. Desde la consola de “Entidad de certificación” en Windows Server, se entra en la carpeta de “Certificados emitidos”, se seleccionan todos y se revocan indicando un motivo (por ejemplo, “Detener la operación”).

A continuación, conviene aumentar el intervalo de publicación de la CRL y publicar una nueva lista de revocación que incluya todos esos certificados ahora revocados. Así, cuando los clientes PKI del dominio validen, verán claro que esos certificados ya no son de confianza.

También hay que revisar la carpeta de “Solicitudes pendientes” de la CA y denegar todas las solicitudes que queden en cola, para evitar que alguien obtenga un certificado de una CA que está en proceso de retirada.

Una vez hecho esto, se puede proceder a desinstalar los Servicios de certificados del servidor. Antes es recomendable detener el servicio, localizar la base de datos de la CA y el directorio de registros (con comandos como certutil -getreg DBDirectory y DBLogDirectory) y, si procede, eliminar también la clave privada asociada a la CA con certutil -delkey.

Tras la desinstalación del rol desde el Administrador del servidor, quedan todavía restos de la CA en Active Directory: objetos en rutas como “CN=AIA, CN=CDP, CN=Enrollment Services, CN=Certification Authorities”, además de certificados publicados en el objeto NtAuthCertificates y la propia base de datos de la CA en la carpeta CertLog.

La limpieza completa implica, entre otras cosas, usar “Sitios y servicios de Active Directory” para borrar los objetos de la CA en los contenedores AIA, CDP y Entidades de certificación, asegurarse de que el objeto pKIEnrollmentService se haya eliminado, y recurrir a herramientas como ldifde para localizar cualquier resto filtrando por el nombre común de la CA.

Además, es necesario eliminar los certificados de la CA del objeto NtAuthCertificates con comandos certutil -viewdelstore, borrar la base de datos de la CA y depurar certificados emitidos a controladores de dominio (por ejemplo, usando certutil -dcinfo deleteBad en cada controlador).

Solo cuando todo ese proceso se ha completado, se puede hablar de una retirada limpia de la entidad de certificación interna, sin dejar certificados sin revocar ni objetos huérfanos en el bosque de Active Directory.

Preguntas frecuentes sobre ver y eliminar certificados digitales

Surgen muchas dudas recurrentes al gestionar certificados, y casi todas tienen que ver con dónde ver los certificados instalados, si se pueden usar en varios dispositivos y qué pasa si te equivocas al borrarlos.

Para localizar certificados en Windows, puedes usar comandos como certmgr.msc (usuario) y certlm.msc (equipo), además de las opciones de certificados en Chrome, Edge, Firefox o Internet Explorer clásico. En Mac, la referencia será la app “Acceso a Llaveros”, mientras que en Linux cada navegador o herramienta de seguridad suele tener su propio almacén.

Un certificado digital se puede exportar con su clave privada y usar en más de un dispositivo, siempre y cuando se proteja con una contraseña robusta y solo se instale en equipos de confianza. Eso sí, nunca es buena idea instalarlo en ordenadores públicos o compartidos.

Si pierdes la contraseña de un archivo .pfx o .p12, no podrás volver a importarlo. En la práctica, esto equivale a perder ese certificado para nuevos dispositivos, y la solución pasa por solicitar uno nuevo al organismo emisor, repitiendo el proceso de acreditación si hace falta.

En caso de borrar por error un certificado ya instalado, siempre que tengas una copia de seguridad exportada podrás reinstalarlo haciendo doble clic sobre el archivo y siguiendo el asistente. Por eso es tan recomendable exportar antes de eliminar.

Finalmente, aunque los certificados digitales son muy potentes y cómodos, no son la única forma de identificación. El DNIe y el sistema Cl@ve ofrecen alternativas para acceder a muchos servicios de la Administración sin necesidad de instalar certificados clásicos en cada ordenador, lo cual puede simplificarte la vida si no quieres complicarte con exportaciones y revocaciones.

Aunque parezca un tema técnico, entender qué es un certificado digital, cómo verlo y cómo borrarlo con cuidado te permite mantener tus dispositivos limpios, evitar errores en trámites importantes y tener siempre bajo control quién puede actuar digitalmente en tu nombre, tanto en un ordenador doméstico como en infraestructuras más complejas basadas en Windows y Active Directory.