Ваш вопрос слишком расплывчатый / неясный / не по теме.
Но в общих чертах: только если вы меняете KSK, вам нужно изменить DS у родителя.
Если вы измените ZSK, он должен быть отправлен в отставку текущими KSK. Вы также можете загрузить новые записи DS до помещения соответствующего ключа в зону.
Ключи / ролловеры протоколов сложны, особенно если вы пытаетесь заставить их произойти слишком быстро. Необходимо принять во внимание как TTL DNS (подписей, записей DNSKEY в зоне, записей DS в родительской зоне), так и даты начала / окончания подписей.
Это канонический документ, который нужно прочитать, чтобы подготовиться к опрокидыванию:
https://tools.ietf.org/html/rfc7583
В этом документе описываются проблемы, связанные со временем событий
в поворот ключа в зоне безопасности DNSSEC. Представляет
временные рамки для смены ключа и явно определяет
взаимосвязи между различными параметрами, влияющими на процесс.
Начните с чтения, несколько раз.
Тогда, если у вас есть вопросы, я думаю, что ServerFault может дать мне больше информации по теме, чем здесь, сначала проверьте ее страницы Tour и Help.