AFAIK se dá v instalaci Linuxu pomocí TPM2 a nástroje fido2-token vytvořit FIDO2 klíč, který se dá potom používat k autentizaci. Nikdy jsem to nezkoušel, ale vím, že lidi z našeho identity managementu na tom pracovali, aby pak bylo možné zajistit, že se uživatel přihlašuje jen ze schváleného počítače.
Jak se to popere s certifikacemi, netuším. Počítám, že na úroveň "vysoká" to nemá šanci, ale možná té základní by to mohlo vyhovět.