O instalador agora tem suporte para configurar o ZFS em cima do geli. Eu recomendo que você use o instalador. Faz as coisas um pouco diferente do que parece que você está tentando (não seguiu o link), mas funciona bem.
A nova configuração do instalador cria duas partições GPT, uma para / boot, onde apenas o kernel e uma cópia protegida por senha da chave de criptografia. Na inicialização, o kernel solicita a senha e configura o disco criptografado. Então a única coisa não criptografada é o seu kernel.
E você pode copiar de forma fácil e segura a chave protegida por senha para seu pendrive externo, ou melhor ainda, configurar um disco externo para replicar a inicialização não criptografada e raiz criptografada e zfs enviar para um disco externo para um backup completo do sistema, que você pode então ir para fora do site.