/AddKey - una clave especificada como "/Addkey " se agregará al archivo de zona, pero no se usará para firmar ningún registro. ...

  /AddKey         -- una clave especificada como "/Addkey []
                     " se agregará al archivo de zona, pero no se
                     usará para firmar ningún registro.
  /SignKey        -- una clave especificada como "/SignKey [<ámbitoFirma>
                     [/ValidFrom ] [/ValidTo 
                     [] " se agregará al archivo de
                     zona y se usará para firmar registros.
  Se pueden indicar varios parámetros /AddKey y /SignKey para especificar
  varias claves. Las subsecciones del parámetro /SignKey se deben indicar en
  el orden especificado.


 <ámbitoFirma> puede ser una de las siguientes opciones:
                     /AllRR       -- esta clave se usará para firmar todos
                                     los registros.
                     /DnskeyOnly  -- esta clave se usará para firmar el
                                     conjunto de registros DNSKEY en la raíz
                                     de la zona únicamente.

  <ámbitoFirma> permite al usuario anular las marcas ZSK o KSK. Si no se
  proporciona ningún valor <ámbitoFirma>, se usará una clave sin la marca
  KSK para firmar todos los registros de la zona y se usará una clave con la
  marca KSK para firmar los conjuntos de registros DNSKEY en la raíz de la
  zona únicamente.

     -- la hora de inicio del período de validez de los registros
                     RRSIG creados con esta clave en formato AAAAMMDDHHMMSS
                     (año en 4 dígitos, mes en 2 dígitos, día en 2 dígitos,
                     hora en 2 dígitos, minuto en 2 dígitos y segundo en 2
                     dígitos).
                     La hora es UTC. Si no se indica el valor ,
                     el período de validez se iniciará una hora antes de la
                     hora actual.
     -- la hora de finalización del período de validez de los
                     registros RRSIG en formato AAAAMMDDHHMMSS (año en 4
                     dígitos, mes en 2 dígitos, día en 2 dígitos, hora en 2
                     dígitos, minuto en 2 dígitos y segundo en 2 dígitos).
                     La hora es UTC. Si no se indica el valor ,
                     el período de validez finalizará 30 días después del
                     comienzo del período de validez para las claves de firmas
                     de zona o 13 meses después del comienzo del período de
                     validez para las claves de firma de clave.

         puede contener las opciones siguientes:
                     /Alg  [/Flags ]

           -- cadena mnemotécnica del algoritmo de clave.
                     Actualmente solo se admite "RSASHA1".
        -- bits que se establecerán en 1 en el campo de marcas
                     DNSKEY. Si  es "KSK", el bit de punto de
                     entrada segura se establecerá en 1 para indicar que esta
                     clave es una clave de firma de clave. Si no se
                     especifica el parámetro , la clave se
                     considera una clave de firma de zona.
  Si la clave es un certificado generado por el comando /OfflineSign /GenKey,
  el usuario no tiene que proporcionar el valor . La herramienta
  puede extraer la información del firmante del certificado.