And furthermore this doesn't match the syntax of known_hosts which has lines of the form:
Isso não importa. Um deles é hash (padrão do Ubuntu) e você está usando uma versão não hash. Eles podem coexistir um ao lado do outro sem nenhum problema. Apenas faça conforme solicitado:
@cert-authority *.example.com ssh-rsa [...base64blob...] CA key for spsi
Do you have a clear way of doing this in the command line rather than editing manually the file?
Faça isso manualmente. Não há nenhum modo de linha de comando a menos que você escreva algum script.
Also, what is the idea of this whole scheme? What is the difference between a certificate approach and a public/private key system?
Com os Certificados, você terá apenas uma linha em seus hosts conhecidos, que verificarão se todos os servidores hospedam chaves assinadas por essa CA. E você nunca será solicitado a verificar chaves de hosts para esses hosts (que é o recurso mais irritante do SSH).