1. 域名注册商必须支持DNSsec。（直接找他们问，或者看是否提供DS记录）
2. 上级域名必须支持DNSsec，用 dig +short dnskey 上级域名来测试。（如果不支持，则只能用 DLV）。
3. 主域名服务器必须支持DNSsec。（自己搞）
4. 从域名服务器必须也支持DNSsec。

每一个域需要两组用于签名的密钥对。一组称为密钥签名密钥（Key Signing Key，KSK），一般而言较长，需要到域名注册商处备案（以便通过上级域名发布）。由于密钥较长，因此其强度更高，因此也可以使用更久的时间。

用来签署本域的域签名密钥（Zone Signing Key，ZSK），后者通常较短，并且需要经常更换。(不推荐使用长 ZSK，因为长 ZSK 的签名尺寸较大，会导致 DNS 流量增加并降低可靠性；未来基于椭圆曲线的算法普及之后，这一情况将有所改观）。

一般来说，为了减少不必要的 DNS 流量，通常的配置中 KSK 只用于签署用来签署域名的域签名密钥，而不用来签名普通地址记录。BIND 的实现中，如果 KSK 与 ZSK 采用的加密算法不同，会出现以两个密钥同时签署域的情况。

• NIST Publication SP-800-81 NIST SP