dnssec-keygen -n значение владельца

Тип имени пользователя предназначен для указания сертификата для авторизации сертификатов, используемых для безопасности транспортного уровня (TLS), используемой с электронной почтой. Идея состоит в том, что занятые почтовые серверы не могут позволить себе дополнительную обработку, необходимую для отслеживания и аутентификации сертификата TLS через его центр сертификации. Записывая запись DNSSEC, почтовым серверам нужно только выполнить один поиск DNS для проверки соединения.

Согласно Руководству программиста BIND9

Опция -n указывает, как будет использоваться сгенерированный ключ. nametype может быть ZONE, HOST, ENTITY или USER, чтобы указать, что ключ будет использоваться для подписи зоны, хоста, объекта или пользователя соответственно.

Параметр -p устанавливает значение протокола для сгенерированного ключа равным значению протокола. По умолчанию 2 (электронная почта) для ключей типа USER и 3 (DNSSEC) для всех других типов ключей.

По причинам, которые не совсем ясно, они решили сгруппировать электронную почту и другие виды использования под именем USER.

Страница Википедии для DANE - хорошее начало.

Достаточно содержательно названная Безопасность SMTP через Оппортунистическую аутентификацию именованных объектов на основе DNS (DANE) Безопасность транспортного уровня (TLS) RFC 7672 так же сложно понять, как предполагает его название! но в нем есть несколько полезных и глубоких концепций, которые достаточно хорошо объясняют основные вопросы во введении.

К сожалению, DNS не имеет той детализации, которую вы ищете. Если вы дали кому-то ключ для обновления, то он получит обновление, в DNS нет процесса, который можно ограничить чем-либо более сложным.