При настройке DNSSEC на Bind, какие записи DNSKEY принадлежат файлу зоны?

Все.

Потому что у родителя есть запись DS, которая, в общем, является хэшем KSK. Следовательно, при следовании по цепочке доверия рекурсивное разрешение будет извлекать эту запись DSиз родителя и извлекать запись DNSKEYиз дочернего элемента и проверять, что в записи DNSKEYесть хотя бы один ключ, соответствующий DSзапишите, а затем продолжите проверку (или сразу же провалите ее).

Согласно §2.1.1. В RFC4034 каждая запись DNSKEYимеет атрибут flags, который позволяет распознавателю узнать, предназначен ли данный криптографический материал для ключа зоны или ключа подписи ключа.

Обратите внимание, что разделение KSK/ZSK является распространенным, но не единственным случаем. У вас также есть ситуация CSK с C = Common, где у вас есть один ключ, который сразу подписывает все другие записи, а также имеет совпадающую запись DSв родительском элементе.

Оба варианта допустимы, но имеют разные преимущества и недостатки.

Также обратите внимание, что набор записей DNSKEYможет даже содержать ключи, еще не использованные для подписи и не являющиеся родительскими в записи DS, что происходит, например, во время ротации (вам сначала нужно ввести ключ в зону и позволить распознавателям кэшировать ее, затем через некоторое время вы можете начать подписывать с ней, а затем снова через некоторое время вы можете включить соответствующую запись DSпри необходимости).