Итак, характерные признаки:
1) не работает WSUS.
2) при ручном запуске апдейта появляется сообщение:
Программе установки не удалось проверить целостность файла Update.inf. Убедитесь, что на компьютере запущена служба криптографии:
Setup could not verify the integrity of the file Update.inf. Make sure the Cryptographic service is running on this computer.
3) Если запустить certmgr.msc, в любом из разделов, где лежат валидные сертификаты, у любого из сертификатов пишется:
The cryptographic operation failed due to a local security option setting.
4) Шаманство из
http://support.microsoft.com/kb/822798 вплоть до решения №6 выполнены, но не помогают.
5) При попытке выполнить "путь разрушения №6" (экспорт сертификата из подписи в распакованном апдейте) мы получаем сообщение "The import failed because the store was read-only, the store was full, or the store did not open correctly."
РЕШЕНИЕ
Идея решения взята из
http://support.microsoft.com/kb/5553741) Запустить regedit.
2) Убивать все ключи с названием Safer (точно Safer, без каких-либо дописок). пример:
http://desunote.ru/i/fix-wsus-cert.png (названия, в которых Safer является лишь частью убивать не надо).
3) Выполнить "путь №6", упомянутый выше (распаковать апдейт, для cat файла посмотреть на сертификаты), но при этом добавить в список Trusted Publisher не только сертификат обновления, но и сертификаты всех вышестоящих CA в цепочке. Для этого их надо поочерёдно экспортировать в файлы (1.cer, 2.cer, 3.cer и т.д.) и импортировать. Не в автомате, а с ручным выбором хранилища Trusted Publishers.
После этого у меня как минимум, руками встали уже 4 обновления. Сейчас ребутнусь и проверю, заработал ли WSUS