/AddKey - uma chave especificada como "/Addkey " será adicionada ao arquivo de zona, mas não será usada para assinar nenhum ...

  /AddKey         -- uma chave especificada como "/Addkey []
                     "
                     será adicionada ao arquivo de zona, mas não será usada
                     para assinar nenhum registro.
  /SignKey        -- uma chave especificada como "/SignKey []
                     [/ValidFrom ] [/ValidTo ] []
                     " será adicionada ao arquivo de zona e usada
                      para assinar registros.
  Vários parâmetros /AddKey e /SignKey podem ser fornecidos para especificar
  várias chaves.  As subseções do parâmetro /SignKey devem ser fornecidas na
  ordem especificada.


  pode ser um dos seguintes:
                     /AllRR          -- essa chave será usada para assinar
                     todos os registros.
                     /DnskeyOnly     -- essa chave será usada para assinar o
                      registro DNSKEY definido apenas na zona raiz.

   oferece ao usuário a capacidade de substituir o sinalizador ZSK
  ou KSK.  Se nenhum  for fornecido, uma chave sem o sinalizador
  KSK será usada para assinar todos os registros na zona, e uma chave com o
  sinalizador KSK será usada para assinar os conjuntos de registro DNSKEY
  na zona raiz somente.

       -- o tempo de início do período de validade dos registros
   RRSIG criados usando essa chave em AAAAMMDDHHMMSS (ano com 4 dígitos,
                     mês com 2 dígitos, dia com 2 dígitos, hora com 2 dígitos,
                     minuto com 2 dígitos e segundo com 2 dígitos).
                     O horário é UTC. Se  não for fornecido, o
                     período de validade iniciará uma hora antes do horário
                     atual.
         -- o tempo de término do período de validade dos registros
  RRSIG em AAAAMMDDHHMMSS (ano de 4 dígitos, mês de 2 dígitos, dia de 2
  dígitos, hora de 2 dígitos, minuto de 2 dígitos e segundo de 2 dígitos).
                     O horário é UTC. Se  não for fornecido, o período
                     de validade se encerrará 30 dias do começo do período de
                     validade para as chaves de assinatura de zona ou 13 meses
                     do começo do período de validade para as chaves de
                     assinatura de chave.

            pode conter as seguintes opções:
                     /Alg  [/Flags ]

             -- a cadeia de caracteres mnemônica do algoritmo de
  chave. Atualmente somente "RSASHA1" tem suporte.
           -- bits a serem definidos como 1 no campo de sinalizador
   DNSKEY. Se  for "KSK", o Ponto de Entrada Seguro será definido
   como 1 para indicar que essa chave é uma Chave de Assinatura de Chave.
   Se nenhum parâmetro  for fornecido, a chave será considerada  uma
   Chave de Assinatura de Zona.
  Se a chave for um certificado gerado pelo comando /OfflineSign /GenKey,
  o usuário não precisará fornecer .  A ferramenta pode extrair as
  informações do assunto do certificado.