嗨，我完全懂你现在的困扰——带分离式头部的LUKS卷确实没法直接用systemd-cryptenroll做TPM注册，因为这个工具目前确实没提供针对分离头部的选项。不过别担心，咱们可以手动完成类似的注册流程，下面是一步步的操作方法：

核心思路 #

绕开systemd-cryptenroll不支持分离头部的限制，先生成受TPM保护的密钥，再手动把这个密钥添加到LUKS卷（指定分离头部），最后配置系统启动时用TPM自动解锁。

具体步骤 #

假设你的LUKS卷设备路径是/dev/sda3，分离头部文件路径是/path/to/luks-header.img，你可以跟着下面的步骤操作：

1. 生成受TPM绑定的密钥
   用systemd-cryptenroll生成一个受当前TPM状态保护的密钥，输出到临时文件：

   systemd-cryptenroll --tpm2 --tpm2-device=auto --key-file=- /dev/null > /tmp/tpm-bound-key.bin
   

   注意哦：如果你的系统启动时的TPM PCR寄存器设置和当前不一样（比如Secure Boot状态、启动内核版本变化），可以用--tpm2-pcrs指定需要绑定的PCR，比如只绑定PCR 7和9：

   systemd-cryptenroll --tpm2 --tpm2-device=auto --tpm2-pcrs=7+9 --key-file=- /dev/null > /tmp/tpm-bound-key.bin
   

2. 将TPM绑定密钥添加到LUKS卷
   用cryptsetup把刚才生成的密钥添加到LUKS卷，这里要明确指定分离头部：

   cryptsetup luksAddKey --header /path/to/luks-header.img /dev/sda3 /tmp/tpm-bound-key.bin
   

   执行时可能需要你输入LUKS卷的现有密码进行验证，按照提示输入即可。

3. 配置系统启动时自动解锁
   编辑/etc/crypttab文件，添加一行配置，告诉systemd启动时用TPM解锁该卷，并指定分离头部：

   my_encrypted_volume /dev/sda3 none luks,header=/path/to/luks-header.img,tpm2-device=auto
   

   这里的my_encrypted_volume是解锁后映射设备的名称，可以根据你的需求修改。

4. 更新initramfs确保配置生效
   执行以下命令更新初始化RAM磁盘，让新的配置在启动时生效：

   update-initramfs -u
   

   不同发行版的命令可能略有不同，比如Fedora用dracut -f。

5. 验证并清理临时文件
   先测试密钥是否能正常解锁卷：

   cryptsetup open --header /path/to/luks-header.img --key-file=/tmp/tpm-bound-key.bin /dev/sda3 my_encrypted_volume
   

   如果能成功解锁，说明配置没问题。之后记得删除临时密钥文件，避免泄露：

   rm /tmp/tpm-bound-key.bin
   

额外注意事项 #

• 确保你的initramfs包含systemd-cryptsetup和TPM相关的模块，现代主流发行版（比如Debian、Ubuntu、Fedora）一般默认包含，如果没有的话，可能需要手动添加到initramfs的配置文件中。
• 重启前最好先备份LUKS卷和分离头部文件，避免操作失误导致数据丢失。

备注：内容来源于stack exchange，提问作者avi9526