Minhas notas dizem que o hash deve ser enviado e armazenado de forma segura na zona pai, então o que eu faço depois:
dnssec-keygen -a RSASHA256 -b 1024 -n ZONE mydomain.net
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE -f KSK mydomain.net
dnssec-signzone -g -o mydomain.net -N increment -k Kmydomain.net.+008+27724 mydomain.net.rev Kmydomain.net.+008+26646
dnssec-signzone -g -o mydomain.net -N increment -k Kmydomain.net.+008+27724 mydomain.net.fwd Kmydomain.net.+008+26646
existe um comando ou entro em contato com o administrador do domínio pai e peço para incluí-lo?
Se o seu registrador oferecer suporte aos registros do DS, você deverá ter um mecanismo para adicioná-lo à interface deles.
A ICANN mantém uma lista de registradores que oferecem suporte a DNSSEC , incluindo especificamente aqueles que permitem fornecer registros do DS.
Todos os registradores serão obrigados a oferecer suporte ao DNSSEC, mas, enquanto isso, sinta-se à vontade para transferir seu domínio para um que o faça.