Служба криптографии не работает в Windows 10/11 — подписи, Центр обновления и Store — как починить (2025)

Сбой подписей и обновлений? Восстановим Cryptographic Services: сброс catroot2, перерегистрация DLL и проверка системы.

Коротко: что проверить сразу

  • Дата/время верные — сертификаты зависят от времени.
  • Служба Cryptographic Services (cryptsvc) запущена.
  • Диск не переполнен, есть 2–5 ГБ свободно для кэша обновлений.
Нужна помощь? Подключусь удалённо, аккуратно сброшу catroot2 и компоненты Центра обновления, восстановлю подписи и обновления.

1) Диагностика: службы и журнал

CMD (Администратор) — выполнять по одной:

sc query cryptsvc
sc query wuauserv
sc query bits
wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-CAPI2'] and (Level=2)]]" /c:10 /f:text /rd:true

Ошибки CAPI2 в журнале часто указывают на проблему с каталогами подписи (catroot2).

2) Сбрасываем catroot2

Эта папка содержит базы подписи и каталоги. Сначала остановим службы, затем переименуем каталог.

CMD (Администратор) — выполнять по одной:

net stop cryptsvc
taskkill /IM tiworker.exe /F 2>nul
attrib -h -s -r %systemroot%\System32\catroot2 /S /D
ren %systemroot%\System32\catroot2 catroot2.old
net start cryptsvc

Windows создаст чистую папку catroot2 при следующей проверке подписей/обновлений.

3) Перерегистрируем криптокомпоненты

CMD (Администратор) — вставить целиком:

for %i in (softpub wintrust cryptdlg mssip32 rsaenh cryptnet) do regsvr32 /s %i.dll
echo Готово

На новых сборках не все библиотеки регистрируются через regsvr32 — это нормально, ошибки пропустите.

4) Проверяем системные файлы

CMD (Администратор) — выполнять по одной:

dism /Online /Cleanup-Image /RestoreHealth
sfc /scannow

После SFC перезагрузитесь.

5) Сброс Центра обновления (если не ставятся обновления/приложения)

CMD (Администратор) — вставить целиком:

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
net start cryptsvc
net start bits
net start wuauserv

Откройте Центр обновления и проверьте установку. Для Microsoft Store выполните wsreset.exe.

6) Логи и проверка

PowerShell (Администратор) — выполнять по одной:

Get-WinEvent -ProviderName Microsoft-Windows-CAPI2 -MaxEvents 20 | Select TimeCreated, Id, LevelDisplayName, Message
Get-FileHash "$env:SystemRoot\System32\wintrust.dll" -Algorithm SHA256

Ошибки CAPI2 уровня «Error» должны исчезнуть. Если нет — смотрите антивирус/защиту каталога, политики и права на папку System32\catroot2.

5б) Частые причины

  • Неверное время/часовой пояс ломают проверку сертификатов.
  • Папка catroot2 повреждена — помогает переименование и создание новой.
  • Сторонние твики/«ускорители» меняют криптопровайдеры и службы — откатывайте изменения.

FAQ

Можно ли удалять catroot2?

Удалять не рекомендуется. Правильно — переименовать при остановленной службе Cryptographic Services. Windows создаст новую папку.

Store и обновления всё равно не ставятся.

Проверьте прокси/сертификаты и ограничения в корпоративной сети. Иногда помогает временно отключить все сторонние «оптимизаторы» системы.

Ошибка подписи отдельных драйверов.

Убедитесь, что драйвер для вашей версии Windows и имеет подпись SHA‑2. Старые драйверы с SHA‑1 могут быть заблокированы.

Читайте также: