Você não pode realmente adicionar um registro DS
para algo que não faz parte da árvore, pois não há um relacionamento pai / filho adequado para essa zona.
Deve ser possível usar trusted-keys
em seus resolvedores internos de validação para substituir as chaves ( ou falta dela) especificado no DNS .