$ openssl req -newkey rsa:4096 -nodes -keyout key.pem -x509 -out cert.pem
//入力を要求されたら全て無入力でEnter押下

# 証明書を PEM から DER 形式に変換
$ openssl x509 -in cert.pem -out cert.der -outform der

# 証明書をキー・リングに登録（keyctlはv1.5.11以上が必要）
$ keyctl padd asymmetric '' %keyring:.fs-verity < cert.der

# キーリングの変更を禁止
$ keyctl restrict_keyring %keyring:.fs-verity

# fs-verityを適用しているファイル全てに署名を要求
$ sysctl fs.verity.require_signatures=1

# ファイルのfs-verityダイジェストのDER形式で，PKCS#7形式で分離された署名を作成
$ fsverity sign file file.sig --key=key.pem --cert=cert.pem

# ファイルのマークル・ツリーと一緒に署名が保持され，fs-verityの有効化がマークされる
$ fsverity enable file --signature=file.sig
